Instagramの認証情報数百万件がダークウェブで流通中：新たなフィッシングの波に警戒

2024年のInstagram APIの脆弱性により、1750万以上のアカウントが漏洩し、その個人情報が闇市場のプラットフォームで再浮上しています。漏洩した情報には、ユーザー名、メールアドレス、電話番号、プロフィールに関連付けられたメタデータなどが含まれ、影響を受けたユーザーにとって即時の脅威となっています。

危機の起源：壊滅的な設定ミス

この漏洩は、Instagram APIのシステム設定の不備に起因し、何百万ものユーザープロフィールの不正抽出を可能にしました。事件は2024年に発生しましたが、2026年1月にダークウェブ上でこれらのデータが再出現したことでリスクが再燃し、古い情報がサイバー犯罪者にとって貴重な資産へと変貌しています。

著名なサイバーセキュリティ企業のMalwarebytesは、この新たな漏洩データの拡散をBreachforumsやその他の違法取引プラットフォームで確認し、セキュリティ上の影響について公に警鐘を鳴らしました。

実際の危険性：高度なフィッシングキャンペーン

攻撃者は、個人情報を持つだけでなく、それを巧妙に利用しているのです。漏洩した情報を用いて、Instagramのパスワードリセットを装った詐欺メールを送信しています。受信者はメッセージ内で実際の情報を認識しているため、これらのフィッシングキャンペーンの成功率は著しく高まっています。

データがダークウェブに再浮上して以来、なりすましの試みは著しく増加し、何千人ものユーザーが疑わしいメールを自分のアカウントに向けて報告しています。

即時の保護措置

Malwarebytesは、潜在的に影響を受けるすべてのユーザーに対し、迅速な防御策の実施を推奨しています。

• パスワードの変更：Instagramのパスワードと、特に他のアカウントで使い回している場合はすべてのパスワードを更新
• 二要素認証の有効化：この追加のセキュリティ層により、不正アクセスの試みを大幅に阻止
• アカウントの変更履歴の確認：最近の活動や接続されたデバイスをセキュリティ設定で確認
• メールのリンクに注意：メール内のリンクをクリックせず、ブラウザから直接Instagramにアクセス

Metaの沈黙

これまでのところ、Metaはダークウェブ上でのデータ再浮上に関する公式発表を出しておらず、ユーザー保護のために追加的に実施している措置についても情報を提供していません。この対応の欠如は、情報漏洩の深刻さと対策の遅れを浮き彫りにし、今後の対応策についてユーザーの不安を増大させています。

この状況は、個人のセキュリティ意識の重要性を改めて強調し、プラットフォーム側の対策に関わらず、個人の資格情報保護の責任が依然として基本的なものであることを示しています。