Instagram、1750万件の個人情報流出を否定。アカウントは安全、パスワードリセットメールは「無視して」と案内

昨日、Instagramに登録されたメールアドレスや電話番号、概算の位置情報などを含む個人情報1,750万件が、ダークウェブ上に掲載されたとお伝えしました。

掲載者は2024年後半に公開APIなどを通じてスクレイピングしたという手口も明かしています。

この影響とみられる動きとして、パスワードリセットメールを受け取る利用者が増加。携帯総合研究所の記事公開後も「パスワードリセットメールが届いていたのはこの影響か」といった反応も寄せられました。

一方、Instagramは本件について「メールは無視して」と案内し、混乱を招いたことを謝罪しています。

パスワードリセットメールの不具合を修正したと報告

パスワードリセットメールは、アカウントにログインできなくなった時に、メールやSMS経由でパスワードの再設定やログイン用リンクを受け取れる仕組みです。

容易に入手できるメールアドレス／ユーザー名を入力するだけで手続きが進むため、第三者が他人のアカウントのパスワードリセットを申請するこも可能です。

この機能だけでアカウントを乗っ取ることは難しいですが、流出したメールアドレスを足がかりにフィッシングを仕掛け、認証コードやログインリンクを本人から引き出せば、不正アクセスしてアカウントを乗っ取ることも可能です。

今回の件を受け、InstagramはXとThreadsの公式アカウントで声明を発表しました。

外部の第三者が一部ユーザーに対してパスワードリセットメールをリクエストできてしまう不具合を修正し、「システムへの侵害はなく、Instagramアカウントは安全」と説明しています。

We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.

You can ignore those emails — sorry for any confusion.

— Instagram (@instagram) January 11, 2026

ただし、1,750万件規模の個人情報がダークウェブに掲載されたこと自体は事実で、不安が払拭されたとは言い切れません。

また、パスワードリセットメールについても「他人のアカウント宛てにリクエストできる」という挙動は大きく変わっていないように見えます。Instagramが声明を出した後も、メールを受け取ったという報告が確認されています。

この件について、Cyber Security Newsは、データがどのように取得されたのか、システム上のぜい弱性によるものか、あるいはサードパーティサービスを経由したものか、調査を進めているとしています。