群馬県高崎市の「あなたの街の看板屋さん」未来社の"M"です
今日は時事ネタです。報じられているInstagramの「1750万人分の個人情報流出」と「大量のパスワードリセットメール騒動」は、まだ事実関係が揺れているものの、一般ユーザーにとってかなり重大な事件です。​なにが起きているのか？どうすればいいのかをお伝えします。

流出してるのか？

会社のドメインアドレスを簡易に調べてみました。結果、今回のinstagramからの流出ではありませんでしたが、お一人だけダークWEBへの流出が確認されました。それも何回も・・・

さらに流出の原因を確認すると…

６年前、ストックフォトサイト「123RF」から「メールアドレス、名前、電話番号、ユーザーネーム、IPアドレス、パスワード、住所」まで流出したのを最初にそれから何回も流出を繰り返しているようです。このように定期的にチェックしていれば少しは安心（？）ですね。
流出の事実を本人には伝えてはあるのですが、「でっ？」という反応だったので曖昧な笑顔でお返ししておきました。我が社にはパソコンを買ってからアップデートはおろかセキュリティーアップデートすら一度もしたことがないという猛者が数名いらっしゃる状況なので「わかってもらう」努力はやめています。

では、いったい何が起きているのか

• セキュリティ企業Malwarebytesが、「Instagramユーザー約1750万件分の個人情報がダークウェブで流通している」と報告しました。​

• 流出したとされる情報には、ユーザー名・本名・メールアドレス・電話番号に加え、物理的な住所（少なくとも一部）が含まれているとされています。​

• この報告以降、多くのユーザーに「パスワードリセットのお知らせ」メールが大量に届き、不安と混乱が一気に広がりました。​

一方でInstagram（Meta）は、「システム侵害（breach）は起きておらず、アカウントは安全」と公式に否定している点が、この事件をよりわかりにくくしているポイントです。​

InstagramとMalwarebytesの言い分の違い

• Malwarebytes側

  • ダークウェブの監視中に、Instagramアカウント約1750万件分のデータセットを発見したと説明。​

  • データはJSONやCSV形式で整理され、ユーザー名・メール・電話番号・住所などが含まれており、API起点とみられる構造だとしています。​

  • 過去の2024年ごろのAPI脆弱性から派生した漏えいである可能性を示唆しています。​

• Instagram（Meta）側

  • 「外部の第三者がパスワードリセットメールをリクエストできてしまう不具合は修正したが、『システム侵害』はなく、アカウントは安全」とX上で説明。​

  • つまり、「大量のリセットメール＝誰かが勝手にリセットをかけている」のは認めつつ、「自社システムからデータが盗まれた」とは認めていません。​

要するに、「大規模な個人情報データセットが闇市場にある」ことは複数メディアやGigazineなども報じている一方で、Instagram公式は「それが自社からの“侵害”とは限らない」と距離を置いている状態です。​

わたしたちの警戒ポイント

正直なところ、「本当にInstagram本体から直接漏れたのか」「過去のAPI漏えいや、どこかのマーケティング業者・分析ツール経由の二次流出なのか」は、現時点でははっきりしません。​
ただ、ユーザー視点で一番重要なのは「どこから漏れたか」よりも、「今後どんな被害につながりうるか」です。

• メール・電話番号・住所が組み合わさることで、以下のリスクが一気に高まります。​

  • 本物そっくりのフィッシングメールやDM（名前や住所を文中に入れられるため信ぴょう性が増す）​

  • SMSを悪用したSIMスワップ攻撃（携帯会社に成り済まして番号乗っ取り）​

  • 住所を使った「ドックス（住所さらし）」やストーカー・嫌がらせなど、現実世界での危害リスク​

• 加えて、「リセットメールが公式ドメインから届く＝安心」とは言えなくなっているのも厄介な点です。
  Instagram自身が言うように、「正規の仕組みを第三者に連打されている」だけでも、ユーザー側には強い心理的プレッシャーがかかります。​

個人的には、「Meta公式が“侵害ではない”と表現しているから安全、とは全く言えない」と感じます。
過去にも、SNS企業は「サーバ本体は侵害されていないが、APIや外部委託先から二次的に漏れた」というパターンが何度もあり、そのたびに被害を受けるのは最終的にはユーザーでした。​

いますぐやるべき具体的な対処

「自分は影響あったかどうかまだ分からないから様子見で…」ではなく、「もう漏れている前提」で動いた方が安全です。​
CyberSec GuruやGigazineが整理しているステップを、一般ユーザー向けに少し噛み砕いてまとめます。

1. アプリから自分でパスワード変更する

• メール内のリンクは一切クリックせず、必ずアプリ・公式サイトから操作するのが鉄則です。​

• 手順イメージ（スマホアプリ）：

  • Instagramアプリを開く

  • 「設定とアクティビティ」→「アカウントセンター」→「パスワードとセキュリティ」→「パスワード変更」へ進む。​

  • 他サービスと使い回していない、16文字以上の長くてランダムなパスワードを設定する。​

パスワードの使い回しをしている場合は、同じパスワードを使っている他サービスも含めて見直した方が安全です。​

2. 「Emails from Instagram」で本物か確認

• Instagramには、「Instagramが実際に送ったメール」のログを確認できる機能があります。​

• アプリの「設定」で「Instagramからのメール」「Emails from Instagram」などを検索し、「セキュリティ」タブを確認します。​

  • そこにリセットメールが記録されていれば「本当にInstagramが送った通知」

  • 記録がなければ、受信箱のメールはフィッシングの可能性大なので削除、リンクは踏まない。​

このワンクッションを挟むだけで、かなりの詐欺メールを無効化できます。

3. 二要素認証を「SMSからアプリ」に切り替える

• 漏えいデータに電話番号が含まれているとされている以上、SMSコードだけに頼るのは危険度が上がります。​

• おすすめはGoogle AuthenticatorやDuoなどの認証アプリ方式の2FAです。

  • 「パスワードとセキュリティ」→「二要素認証」→「認証アプリ」を選択。​

  • 可能ならSMS認証はオフ、難しければ「予備」扱いにしてキャリア側でPINロックを設定しておくと多少マシになります。​

4. 連携アプリ（サードパーティ）を一掃する

• アクセス権を持った分析ツールや「フォロワー解析アプリ」が、弱いポイントになっている可能性が指摘されています。​

• 「設定」→「ウェブサイトの権限」→「アプリとウェブサイト」を開き、

  • 覚えのないアプリ

  • もう使っていないサービス
    を片っ端から削除しておくのが無難です。​

「便利そうだからとりあえず連携してみた」アプリが、数年後に“穴”になっていた…というのはSNS界隈ではあるあるのパターンです。​

5. ログイン履歴・接続端末を見直す

• Metaのアカウントセンターでは、どの端末・どの場所からログインされているかを確認できます。​

• 覚えのない端末や国名があれば、即ログアウト＆パスワード変更・2FA強化を行うべきです。​

必要なら、Facebook側のパスワード変更もセットで行ってください（「Facebookログインで利用」を経由した攻撃の可能性もゼロではないため）。​

これから意識したい「デジタル生活」の考え方

この事件は、「またどこかで情報漏えいか…」といういつものニュースではなく、住所や電話番号など“現実世界に直結する情報”とSNSアカウントが結びついてしまった、かなり重い警告だと感じます。​

• 今後は、

  • SNSの登録情報に「どこまで本当の情報を書くか」

  • ECサイトやマーケ会社との連携をどこまで許可するか
    を、一度立ち止まって考える必要があります。​

• 完全に漏えいを避けることはほぼ不可能ですが、

  • パスワード管理の徹底

  • 2FAの標準化

  • メールやDMのリンクは常に疑ってかかる
    といった「日常の小さな習慣」で、被害の深刻さはかなり変えられます。​

公式が何と言おうと、最終的に自分の身を守れるのは自分だけです。
今回のInstagram騒動を、「パスワード総点検」と「二要素認証の見直し」をするきっかけにしておくと、今後の別サービスのインシデントに対しても強くなれるはずです。​
"M"