1月11日の報道によると、海外メディアのデイリーメールは、世界中の数百万人のインスタグラムユーザーが異常に大量のパスワードリセットメールを受信し、不安とセキュリティ上の懸念が広がっていると報じた。複数のサイバーセキュリティ機関と海外メディアは、約 1,750 万のアカウントのパスワード以外の個人情報 (ユーザー名、本名、電子メール アドレス、電話番号、住所の一部、その他の連絡先情報を含む) が 2024 年に Instagram API インターフェースを通じて違法に取得された疑いがあり、2026 年 1 月 8 日にコードネーム「Solonnik」という攻撃者によって BreachForums フォーラムで公開されたと指摘しました。データセットには 1,700 万件以上のレコードが含まれており、入手可能です。無料でダウンロードできます。
事件発覚後、セキュリティ会社Malwarebytesは1月10日にソーシャルプラットフォーム上で早期警告を発し、一連の情報にはクリアテキストのパスワードや暗号化された資格情報は含まれていなかったが、高度に構造化された個人識別データはスピアフィッシング、ソーシャルエンジニアリング攻撃、なりすまし、金融詐欺などの後続の犯罪活動に容易に使用される可能性があると強調した。同じ期間に、インスタグラムから短期間に標準化されたリセットメールを受信したと多くのユーザーが報告しました。コンテンツには、印象的な青色の「パスワードのリセット」ボタンと、「このメールを無視した場合、パスワードは変更されません。要求が開始されない場合は、お知らせください。」という標準的なプロンプトが含まれていました。
世間の懸念に応えて、メタ社は1月11日に正式に声明を発表した。同社は「データ侵害は発生しておらず、インスタグラムのシステムは侵害されておらず、ユーザーアカウントは安全なままである」と明言した。
Metaの広報担当者によると、この大規模なメールトリガーは修正された技術的脆弱性によって引き起こされ、部外者が通常の検証プロセスをバイパスして一部のInstagramユーザーに偽のパスワードリセットリクエストを一括で送信できるようになり、それによってシステムが自動的にリセットメールを送信するようトリガーされたという。
Meta氏は、関連する脆弱性は発見後できるだけ早く修復されたことを強調し、この問題が悪意のあるアカウント乗っ取りやその他の水平方向の侵入行為に利用された形跡はないことを確認した。 Meta は、この誤報によって引き起こされた社会の混乱について謝罪し、インフラストラクチャのセキュリティのアップグレードと API アクセス制御への投資を継続するというコミットメントを繰り返しました。