Instagramで個人情報1,750万件流出か。ダークウェブ掲載で悪用の恐れ、今できる対策は？

Instagramの個人情報が流出し、ダークウェブのフォーラムに掲載されていると報じられています。

この影響によって、本来パスワードを忘れてアカウントにログインできなくなった時の救済機能である、パスワードリセットメールを受け取る人が増加する事態に。フィッシング詐欺やSIMスワップを組み合わせることで、アカウントの乗っ取りが可能になります。

メールアドレスや電話番号、位置情報データなど流出対象に

Instagramの個人情報の流出は、Malwarebytesのサイバーセキュリティ研究者が最初に指摘し、ダークウェブ上のリストを通じて流出が確認されました。

Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL

— Malwarebytes (@Malwarebytes) January 9, 2026

個人情報は「INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK」というタイトルで、ハッキングフォーラムに掲載されており、JSONおよびテキスト形式のデータには1,750万件の個人情報が含まれています。

フォーラムに投稿された情報によれば、2024年後半にAPIリークを通じて収集され、一般的なセキュリティ対策を回避して世界中のユーザプロフィールをスクレイピングしたとされています。

12

ハッキングフォーラムに掲載された流出データ

これにより、何百万人ものユーザがなりすまし被害やフィッシング詐欺の危険にさらされる可能性があると指摘されています。深刻なのはメールアドレスや電話番号など、ディープな個人情報が含まれていることです。

アカウントを乗っ取られないためにできること

個人情報はすでに悪用が始まっており、データが公開されたあとに多くのInstagramの利用者が見覚えのないパスワードリセットのメールが届いたことを報告しています。

パスワードリセット自体は、ユーザーネームまたは電話番号さえ知っていれば、誰でもリクエストできるものです。

筆者のようにアカウントを売って欲しいというダイレクトメールが届くアカウントであれば、今回の流出に関係なく、日常的にリセットメールを受け取っている人も多いはずです。

問題はSIMスワップやフィッシング詐欺によって、今回の流出に含まれていないデータを引き出してアカウントに不正ログインできることです。

例えば、パスワードリセットメールでSMSに送信されたログインリンクや認証コードを巧妙な手口を使って本人から入手すれば、簡単にアカウントを乗っ取りできてしまいます。

流出した情報をInstagram以外でも利用することで、別のサービスで利用しているアカウントにも危害が及ぶ可能性があります。

アカウントを乗っ取られないために今すぐできる対策は、身に覚えのないパスワードリセットメールとログインリクエストも無視することです。

12

パスワードリセットメール

次に2要素認証をオンにしましょう。すでに利用している場合は、認証コードをSMSで受け取るのでなく、SIMスワップの影響を受けにくいOSの標準機能やパスワード管理アプリに切り替えることです。

Instagramの2要素認証の設定方法は以下の記事にまとめています。

なお、現時点でInstagramを運営するMetaは今回のデータ流出について、正式な声明を出していません。