セキュリティ企業Malwarebytesは、1,750万件のInstagramアカウントに影響を与えるデータ侵害を確認した。流出データはハッカーフォーラムで共有されており、ユーザー名、フルネーム、メールアドレス、電話番号、部分的な物理的住所などが含まれる。
データは2024年に発生したInstagram APIの流出に起因し、「Solonik」という脅威アクターが2026年1月7日にBreachForumsで無料公開した。投稿には1,700万件以上のレコードがJSONおよびTXT形式で含まれる。Instagramの親会社Metaは侵害を確認しておらず、公式声明も出していない。
Malwarebytesは攻撃者がなりすまし攻撃やフィッシングに悪用する可能性を警告し、パスワードリセットと二要素認証の有効化を推奨している。
From: 
Malwarebytes warns of Instagram data breach impacting 17.5 million users
※本記事で言及している技術的背景や攻撃手法については、現時点で公開されている複数の報道および専門家の分析に基づくものであり、Instagram(Meta)が公式に確認した事実ではありません。
【編集部解説】
今回のInstagramデータ侵害は、単なるハッキング事件ではなく、API設計とレート制限の失敗が招いた構造的な問題として注目すべき事案です。
この流出は「スクレイピング」として分類されており、Instagram自体のサーバーへの侵入ではなく、公開されているAPIエンドポイントを大量に自動クエリすることで収集されました。つまり、攻撃者は正規のインターフェースを悪用したのです。2024年に実行されたこの操作が、2026年1月7日になって無料公開されたことで、被害が顕在化しています。
実は、これは初めてではありません。2024年11月にも4億8,900万件のInstagramデータがスクレイピングされたとの報告があり、Metaのレート制限や保護措置の脆弱性が継続的に悪用されてきた可能性があります。
今回の流出データにはパスワードが含まれていませんが、攻撃者はInstagram自身のパスワードリセット機能を武器化しています。1,750万件のメールアドレスと電話番号を使って自動的にパスワードリセットを大量に要求し、ユーザーがパニックになることを狙っているのです。正規のInstagramからのメールと偽メールが同時に届くため、ユーザーは真偽を判断しにくい状況に置かれています。
特に深刻なのは、物理的な住所情報が含まれている点です。これはおそらくInstagram ShoppingやBusiness Profileのインフラから抽出されたと考えられ、デジタルな脅威が物理的なリスクへと拡大する可能性を示唆します。オンラインでの嫌がらせが現実世界のストーキングやスワッティング(虚偽通報による警察派遣)などに発展するリスクがあるのです。
Metaは現時点で公式な声明を出しておらず、この沈黙が不安を増幅させています。一方、セキュリティ企業Malwarebytesは無料のデジタルフットプリントスキャンを提供し、自分のメールアドレスが流出しているかを確認できるツールを公開しました。
長期的な視点では、このような事案がAPI設計の根本的な見直しを促すきっかけになるかもしれません。公開APIと内部APIの境界設定、クエリのレート制限、異常検知システムの強化など、プラットフォーム側の責任が改めて問われることになるでしょう。
【用語解説】
API(Application Programming Interface)
アプリケーション同士がデータをやり取りするための仕組み。Instagramでは、外部アプリがユーザーの投稿情報などを取得するために使用される。設計や保護が不十分だと、今回のように大量データの不正取得に悪用される。
スクレイピング
ウェブサイトやAPIから自動的にデータを収集する技術。本来は正当な目的で使われるが、大規模かつ自動化された手法で個人情報を収集すると不正なデータ窃取となる。サーバーへの侵入を伴わないため、技術的には「ハッキング」とは異なる。
フィッシング
正規のサービスや企業を装って、ユーザーからパスワードやクレジットカード情報などを盗み取る詐欺手法。メールやメッセージで偽のログインページへ誘導するのが典型的なパターンである。
二要素認証(2FA)
パスワードに加えて、SMSコードや認証アプリによる追加の確認を求めるセキュリティ機能。たとえパスワードが漏洩しても、第二の認証要素がなければアカウントへの不正アクセスを防げる。
レート制限
一定時間内に許可されるAPIリクエストの回数を制限する仕組み。自動化された大量アクセスを防ぎ、サーバー負荷を抑えると同時に、スクレイピング攻撃を抑止する役割を果たす。
スワッティング
虚偽の通報により、武装した警察特殊部隊(SWATチーム)を標的の住所へ派遣させる悪質な嫌がらせ行為。物理的な住所情報が流出すると、こうした現実世界の危険に発展する可能性がある。
デジタルフットプリント
インターネット上に残された個人の活動履歴や情報の痕跡。メールアドレス、SNSアカウント、投稿履歴など、デジタル空間での「足跡」全般を指す。流出したデータの中に自分の情報が含まれているかを確認するスキャンサービスもある。
JSON形式
データを構造化して記述するための標準的なテキスト形式。APIがデータをやり取りする際によく使われる。今回の流出データもJSON形式で公開されており、プログラムで簡単に処理できる状態だった。
【参考リンク】
Malwarebytes(外部)
マルウェア対策とサイバーセキュリティを専門とする米国企業。無料のデジタルフットプリントスキャンサービスを提供している。
Meta(外部)
Instagram、Facebook、WhatsAppを運営する米国のテクノロジー企業。旧Facebook Inc.が2021年に社名変更した。
Instagram Developer Platform(外部)
Instagram APIの公式ドキュメントページ。開発者向けにAPIの仕様、利用規約、セキュリティガイドラインを提供。
Have I Been Pwned – BreachForums(外部)
データ侵害の追跡サービス。BreachForums自体も2022年に侵害され、21万2,000件のユーザーデータが流出した。
【参考記事】
17.5 Million Instagram Accounts Exposed in Major Data Leak(外部)
今回の侵害が「スクレイピング」によるもので、サーバー侵入ではないことを強調した報道記事。
17.5M Instagram Users Hit by API Scraping Attack(外部)
攻撃者がパスワードリセット機能を悪用し、物理的な住所情報流出のリスクを警告した記事。
An Instagram data breach reportedly exposed the personal info of 17.5 million users(外部)
Malwarebytesの報告を引用し、Metaが公式確認を行っていない点を指摘した報道記事。
Massive data leak reportedly exposes information of 17.5 million Instagram users(外部)
流出データがBreachForumsで「Solonik」によって無料公開された経緯を報告した記事。
Instagram purportedly subjected to widespread data scraping(外部)
2024年11月に4億8,900万件のInstagramデータがスクレイピングされた事案を報道した記事。
Instagram Breach 2026: 17.5 Million Accounts Exposed(外部)
流出データに含まれる物理的な住所情報のリスクや、フィッシング攻撃への悪用可能性を解説した記事。
【編集部後記】
今回のInstagramデータ侵害、もしかしたら私たち自身も影響を受けているかもしれません。「また漏れたのか」と感じる方も多いと思いますが、この事案が示すのは、プラットフォーム側の設計責任という根本的な問題です。
皆さんはAPI設計やレート制限について、どのような対策が有効だと思われますか?二要素認証を設定していても、物理的な住所まで流出するリスクにどう備えればいいのか。完璧な防御策はないからこそ、一緒に考え続けたいテーマだと感じています。
