The Daily Beast など複数の報道によると、日本時間の8月31日に、インスタグラムは第三者に任意のユーザーの電話番号やメールアドレスなどの個人情報が閲覧されるバグを修正したと公表しました。インスタグラム側は被害の規模を明らかにしていませんが、バグが修正されるまでにハッカーらはおよそ数百万人分のユーザーの個人情報を盗み出しました。その中にはインスタグラム内で人気のユーザーの個人情報も含まれており、海外セレブがその主なターゲットと思われていましたが、私が確認したところでは、日本の芸能人のアカウントも含まれていることが判明しました。さらに、それらの個人情報は「ダークウェブ」に存在するサイト内で販売され、価格は一つ10ドルとなっています。
—
個人情報を盗んだハッカーらは、インスタグラムユーザーの個人情報のデータベースを検索できるサイトを立ち上げ、 The Daily Beast にそのサンプルとして政治家やスポーツ選手などの有名人のユーザーのメールアドレスや電話番号を含む個人情報を提供しました。
The Daily Beast はサンプルが本物であるか検証するために、インスタグラム上でリストからメールアドレスをランダムに選択して新しいアカウントを作成しようとしましたが、どの場合もメールアドレスは既にあるインスタグラムのアカウントと紐付いていました。
ハッカーが個人情報を盗み出していたのと同時期に、誰かが米人気歌手のセレーナゴメスのアカウントを乗っ取り、今週初めに元恋人の歌手ジャスティンビーバーの全裸写真を投稿しました。
さらに The Daily Beast は、サンプルに載っているユーザーにメールで取材を試み、取材に応じたユーザーはそのメールアドレスをインスタグラムの登録に使っていたこと、アカウントには電話番号を登録しておらず、それがデータと一致しているということが確認されました。
データベースに多くの有名ユーザーが含まれている理由については、最初に100万人以上のフォロワーを持つすべてのユーザーを対象にスクレーパーを設定し、他のユーザーを再帰的に収集したためであり、収集した個人情報の総数は600万を超えるとハッカーは主張しています。
—
以上が The Daily Beast による報道の一部ですが、インスタグラムから流出した個人情報を販売するこのサイトでは、米歌手ジャスティンビーバーなどの海外セレブの個人情報みならず、日本の芸能人などの個人情報も大量に販売されていることが判明しました。
User Local社が提供するこのツールを用いて、国内のインスタグラムユーザーをフォロワー数の多い順に、販売サイト内でIDを検索したところ、上位100位の半数以上の個人情報が販売されていることを確認しました。メールアドレスのみが流出しているアカウントがほとんどですが、一部は電話番号もセットで販売されています。どれも1件あたりの価格は10ドル(約1100円)に設定され、支払い手段には仮想通貨の「Bitcoin」のみを受け入れています。
流出した国内のユーザーは、お笑い芸人、モデル、俳優、歌手など、誰もが知っている人気の芸能人がほとんどを占め、具体的な名前は出せませんが上位60位までのほぼ全てアカウントのメールアドレスは流出しています。皮肉なことに、その中にはインスタグラム公式の日本アカウントも含まれています。
ハッカーらは「ダークウェブ」という特殊な空間にサイトを開設し、自分らの匿名性を確保した上で情報を販売しています。表層ウェブ上にもいくつかドメインが用意されていますが、じきにレジストラからドメインを停止され、ダークウェブのみで販売することになると考えられます。