Instagramの「パスワードリセット」メール出回る ユーザー情報が大量流出か リンクのクリックは禁物：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　身に覚えのないInstagramのパスワードリセット通知メールが届いたというユーザーが、世界中で続出している。ほぼ同時期に、Instagramユーザーの個人情報がダークWebで大量に売りに出されたとも伝えられた。いずれにしても、メールに記載されたリンクは一切クリックせず、Instagramの二段階認証を設定するよう専門家は呼びかけている。

　米メディアのThe Vergeや米サイバーセキュリティ企業のMalwarebytesは1月11〜12日にかけ、多数のユーザーがInstagramのパスワードリセットを通知する不審なメールを受け取っていると伝えた。

　実は筆者もこのメールを受信した。Instagramのロゴが入った正規の通知に見えるメールで、送信元のアドレスは「security@mail.instagram.com」。認証済みであることを示すGmailの青いチェックマークも付いている。

筆者宛てに届いた通知メール

　文面は英語で、件名は「Reset your password」。本文は「We got a request to reset your Instagram password（あなたのInstagramパスワードをリセットするリクエストがありました）」という文面の下に、「Reset password」の青いボタンが付いている。

　その下の説明によれば、「このメッセージを無視した場合、パスワードは変更されない」とのこと。「もしあなたがパスワードリセットをリクエストしていない場合は、お知らせください」という文字からはリンクが張られていて、リンク先のURLもInstagramの正規のページのようだった。

　こうしたメールが出回ったのとほぼ同時期の1月10日、サイバーセキュリティニュースサイトのCyber Pressは、Instagramユーザー約1750万人の個人情報と称するデータセットがダークWebのハッキングフォーラムに投稿されたと伝えた。

　投稿者はこのデータについて、2024年末に「APIリーク」を通じて世界で収集したと主張しているという。このデータには、ユーザーネームとフルネーム、ユーザーID、電子メールアドレス、電話番号、国などの情報が含まれていたが、パスワードは含まれていなかった。

Instagramの説明は

　一方、Instagramは1月11日、Xの公式アカウントで「一部の利用者について、外部の第三者がパスワードリセットメールをリクエストできてしまう問題を修正した」と発表。同社のシステムに対する侵害はなく、ユーザーのInstagramアカウントも安全だとした上で、「あのメールは無視して構わない」と説明している。

　この問題と、ダークWebに投稿されたデータとの関係ははっきりしない。Malwarebytesの専門家によると、ダークWebのデータには、Instagramから流出したとされる過去の情報が含まれている形跡があった。しかし、パスワードリセットのメールについてユーザーから報告が出始めたのは、このデータがダークWebに投稿される数日前だった。つまり、問題のデータは以前から一部の非公開グループで出回っていた可能性もあるという。

　一方で、「何者かがInstagramアカウントに対するスプレー（総当たり）攻撃を試みて、別の脆弱性やデータ流出が起きていた」可能性もあるとMalwarebytesは分析。「Instagramの発表はこのスプレー攻撃に言及しているようだ」と推測する。

　Malwarebytesによると、いずれにしてもInstagramの二段階認証を設定していれば、パスワードリセットのメールは無視しても問題はない。安全を期すためにパスワードを変更する場合はメールのリンクをクリックするのではなく、必ずアプリから行うようにする。

　また、Instagramと同じMeta傘下のFacebookやWhatsAppでもデータを使い回したり連携させたりしているユーザーもいることから、念のために最近のログイン履歴などを確認し、心当たりのない端末や場所があればログアウトする対策を促している。