Instagramでユーザー名・ユーザーの本名・住所・電話番号・メールアドレスが流出する事態が発生しています。影響範囲はおよそ1750万件に及びます。

Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more.

This data is available for sale on the dark web and can be abused by cybercriminals.

[image or embed]— Malwarebytes (@malwarebytes.com) 2026年1月10日 1:34


An Instagram data breach reportedly exposed the personal info of 17.5 million users

https://www.engadget.com/cybersecurity/an-instagram-data-breach-reportedly-exposed-the-personal-info-of-175-million-users-192105616.html

Instagram Breach 2026: 17.5 Million Accounts Exposed | The CyberSec Guru

https://thecybersecguru.com/news/instagram-data-breach-17-million/

セキュリティ企業・Malwarebytesの研究部門・Malwarebytes Labsによると、Instagramからアカウント1750万件の情報が盗まれ、ダークウェブで販売されているとのこと。

Malwarebytes Labsはダークウェブをスキャンしていて情報が販売されていることに気付いたそうです。すでに、パスワードリセットを試行した際に送られるメールが多くのユーザーのもとに届いていることが報告されています。

Instagramからの情報流出は2019年や2021年にも発生していますが、過去に流出した情報はメールアドレスやプロフィール欄のリンクなどに限られ、問題はあるものの深刻度はそれほど高くありませんでしたが、今回はInstagramのユーザーIDと位置情報データが紐付いた状態で流出したとみられており、セキュリティ専門家はリスクレベルを高く見積もっています。

また、住所が流出したことにより、ユーザー名と住所を組み合わせることで現実に危害が及ぶ可能性も指摘されています。

Malwarebytes Labsは、流出した情報に基づいてフィッシングやアカウント乗っ取りなどのさらなる攻撃が行われる可能性があるとして、MetaのアカウントセンターでInstagramに不審な端末がログインしていないかを確認するなどの対策を呼びかけています。

セキュリティ情報サイトのThe CyberSec Guruは、Metaによる正式な声明を待っていては遅いとして、合は自分の情報が流出したと想定して以下の4ステップを行うよう呼びかけています。

1:Instagramアプリのアカウントセンター経由でパスワードを変更する

パニックに陥ったユーザーを狙い撃ちするため、パスワードリセットを求めるメールに模したフィッシング詐欺が行われています。このため、メールのリンクはクリックせず、Instagramアプリ内のアカウントセンター経由でパスワードを変更してください。

2:Instagramから送信された最近のメールを確認する

アカウントセンターの「パスワードとセキュリティ」項目内に、Instagramが最近送信したメールのログが保存されています。「セキュリティ」タブにパスワードリセットしようとするメールがあれば、実際に何者かがパスワードを変更しようとしてブロックされたということを示します。なければ、メールボックスに届いたパスワードリセットを求めるメールはフィッシング詐欺なので削除してください。

3:アプリベースの二要素認証を使用するようにする

電話番号も流出しているため、SMS利用の二要素認証はもはや安全ではありません。アプリの「パスワードとセキュリティ」からGoogle AuthenticatorやDuoなどのアプリを用いた二要素認証を行うようにしてください。

4:サードパーティー製アプリの権限を削除する

今回のデータ侵害はAPIデータへの正当なアクセス権を持つサードパーティー製の分析アプリまたはフォロワー追跡機能から行われた可能性があるため、「ウェブサイトの権限」内の「アプリとウェブサイト」から、権限を与えた覚えのないアプリや使用しなくなったアプリを削除してください。