Instagramを巡り、大規模なデータ侵害が発生した可能性があるとして議論が広がっています。運営側は「システム侵害は起きていない」と説明していますが、実際にはユーザー名やメールアドレスがダークウェブ上で公開されていると指摘されています。
米セキュリティ企業のMalwarebytesは、Instagramに関連する約1,750万人分のユーザー情報が、ハッカー向けフォーラムやダークウェブ上で出回っていると警告しました。流出したとされるデータには、ユーザー名やメールアドレスが含まれており、パスワードや支払い情報は含まれていないとされています。
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. This data is available for sale on the dark web and can be abused by cybercriminals.
— Malwarebytes (@malwarebytes.com) 2026年1月10日 1:34
[image or embed]
一方、Instagram側はこの件について、一部のユーザーのために外部の第三者がパスワードリセットメールをリクエストできる問題を修正しました」と前置きしたうえで、「システム侵害は起きていない」と説明しています。
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
— Instagram (@instagram) January 11, 2026
You can ignore those emails — sorry for any confusion.
本事案は「ハッキングによるデータベース流出」ではなく、技術的には、APIや公開情報を起点としたデータ収集(スクレイピング)と、その再流通が問題となっています。
今回の件で注目されているのは、2024年に確認されたAPIエンドポイント経由での大規模なデータ収集事案です。正規または制限の緩いAPIを通じて、ユーザー名や連絡先情報が自動取得され、その後に別の漏えいデータや公開プロフィール情報と突き合わせる形で「名寄せ」された可能性が指摘されています。
このようなAPIベースの収集は、認証設計やレート制限、連携アプリの権限管理が不十分な場合に発生しやすく、必ずしも不正侵入とは見なされません。ただし、複数のデータソースを組み合わせることで、攻撃に利用しやすいユーザーリストが生成される点が問題視されています。
流通しているデータは、フィッシング詐欺やアカウントリスト攻撃などに悪用される恐れがあり、実害につながるリスクは否定できません。Instagramが「侵害はない」と説明する一方で、ユーザー側の警戒が必要とされる理由です。
Instagramユーザーは、2段階認証の有効化や不審なメールへの注意など、基本的なセキュリティ対策が求められます。