Instagramのパスワードリセットに関する脆弱性をメタが修正も、システムが侵害されたことは否定

Instagramのパスワードリセットに関する脆弱性をメタが修正も、システムが侵害されたことは否定

SecurityWeek – January 12, 2026、BleepingComputer – January 11, 2026

ソーシャルメディア大手のメタは1月12日、Instagramにパスワードリセットに関する脆弱性が存在していたことを認め、これを修正した旨を発表。一方で、Instagramのシステムが侵害されたとの疑惑については否定した。

今回修正された脆弱性は、これを悪用した第三者がユーザーへパスワードリセットリクエストメールを送れるようになるというもの。実際にソーシャルメディアX上では、多数のユーザーがパスワードをリセットするよう要請する内容のメールを受け取ったことについて報告していた。メタは1月12日のX上での投稿において、こうしたEメールは無視して問題ないと伝えている。

メタは同投稿の中で脆弱性の修正について伝えるとともに、Instagramのシステムは侵害されておらず、ユーザーのアカウントは安全な状態に保たれている旨を強調。これは、1月10日にサイバーセキュリティ企業Malwarebytesが「サイバー犯罪者がInstagramアカウント1,750万件分の機微な情報を盗んだ、これにはユーザー名、住所、電話番号、メールアドレスなどが含まれる」とXに投稿したことを受けてのものだった。

同社が言及した「リーク」は、複数のハッキングフォーラム上でリリースされており、これを投稿した脅威アクターは、「2024年のInstagram APIリーク」を通じて集められたデータだと主張。このリークが実際に発生したかどうかは確認されていないものの、共有されたデータはInstagramアカウント1,701万7,213件分のプロフィール情報から成り、これにはユーザーIDが1,701万5,503件、ユーザー名が1,655万3,662件、Eメールが623万3,162件、電話番号が349万4,383件、名前が1,241万8,006件、住所が133万5,727件含まれていたとされる。ただ、パスワードは含まれていないという。

しかし上記のMalwarebytesの投稿に対し、サイバーセキュリティの専門家らは「盗まれた情報」とされるものが2022年のデータリークの一部であり、新たなデータではないと指摘。またある専門家は、同じデータは2024年11月にもネット上で共有されていたとツイートした。ただしBleepingComputerによれば、これを裏付ける証拠は提供されておらず、メタも2022年および2024年にAPIインシデントが発生したことを認識していないという。

メタは一方で2017年にAPIスクレイピングインシデントの被害に遭っており、この際にはアカウント600万件分の個人情報がスクレイピングされて売りに出されたと言われている。

今回ハッカーによりリークされたデータは数年間をかけて複数のソースからスクレイピングされた情報の寄せ集めである可能性があり、メタが修正したInstagramにおけるパスワードリセットの脆弱性を悪用して集められたわけではないと思われるとのこと。

米ICEの偵察テックに対するハッカーやプライバシー擁護団体の抵抗手段とは？

The Register – Fri 9 Jan 2026

米ミネソタ州ミネアポリスで米国籍の女性を射殺した事件で物議を醸している移民税関捜査局（ICE）。同局が偵察用テクノロジーを移民取り締まりに利用しているとされる中、ハッカーやデジタルプライバシー擁護団体などはICEのこうした活動に対抗する術を考案・駆使しているという。

ICEは、自動車のナンバープレート読み取り装置（ALPR）で知られるFlock社のテクノロジーやカメラなどを使い、市民や移民の偵察を行っているとされる。米国では大小問わず多数の自治体がFlock社と契約を結び、ナンバープレート読み取り装置を使用して自治体内を走行する車両の動きを追跡している。こうした装置は当該地方の警察局が契約者となっているにもかかわらず、ICEの職員も時折この情報にアクセスし、移民取り締まりに活用していると言われている。

これについてデジタルプライバシー擁護団体の電子フロンティア財団（EFF）は、こうしたICEの偵察活動に対抗するためにハッカーらが実施している取り組みをいくつか紹介。これには、以下のようなオープンソースツールやアプリが含まれる。

• OUI-SPY向けのプログラム：オープンソースハードウェアの小型デバイス「OUI-SPY」にロード可能な複数のプログラムが、偵察活動へ抵抗するのに役立つとされる。例えば「Flock You」はFlock製カメラの設置場所を検出できるツールで、「Sky-Spy」は上空のドローンを検出可能。また人々を密かに記録するAxon製偵察テクノロジーやメタ社のカメラ機能付きスマート眼鏡などが発するBluetooth信号を検出できる「BLE Detect」も例として挙げられている。こうしたプログラムを活用することで、さまざまな偵察・監視技術の分布を可視化・定量化が可能になる。

• Wigle：Wigleは、Wi-Fiのマップアウトを目的に設計されたオープンソースアプリ。特定のWi-FiまたはBluetooth識別子が検出された際に音付きのアラートを発する機能があることから、FlockやAxonなどの偵察テクノロジーのシグナルが検出された際に通知を出す設定にして活用することができる。

• OSINTや市民による通報を活用するアプリ：「deflock.me」や「alpr.watch」といったアプリは、ユーザーの報告に基づいてナンバープレート読み取り装置の設置場所をマップ化している。こうしたアプリを使うことで、各地域におけるFlock製偵察カメラをマッピングできる。

• ICE職員の目撃情報を通報・共有できるアプリ：「Stop ICE Alerts」や「ICEOUT.org」、「ICE Block」、「Eyes Up」などがその例。なおICEBlockは米Pam Bondi司法長官の要請によりAppleによって削除されており、この件についてEFFは訴訟を起こしている。Eyes Upも2026年はじめにAppleにより削除された。

このほか、EFFによれば、多くのハッカーが、偵察・監視産業の監視の目を逃れる方法を含むセキュリティアドバイスを提供するWebサイトを構築したり、地域コミュニティ向けのデジタルセキュリティ研修を開催し始めたりしているという。中には、『フォートナイト』などのビデオゲーム内で、コミュニティを守る方法やICEの強制捜査に遭遇した時の対応策を教える研修を行うトレーナーもいるとされる。またEFF自身も、携帯電話基地局シミュレーターの検知が可能な独自プロジェクト「Rayhunter」を提供しているとのこと。

北朝鮮アクターKimsukyが悪性QRコードを用いたスピアフィッシング攻撃を実施、FBIが注意喚起

SecurityWeek – January 9, 2026

北朝鮮のAPTグループKimsukyが、悪意あるQRコードの添付されたスピアフィッシングメールで政府機関や学術期間、シンクタンクなどを標的にしているという。米FBIが注意喚起した。

QRコード付きのフィッシングメールを受信した者は、スマートフォンなどのモバイルデバイスでQRコードを読み取ろうと試みるため、メールセキュリティ対策などのセキュリティ措置が講じられた業務用PCから離れることになる。このような手口は「QRコードフィッシング」を縮めて「クイッシング（Quiching）」とも呼ばれる。

QRコードをスキャンした受信者は攻撃者の支配下にあるドメインへリダイレクトされ、そこでユーザーエージェント、OS、スクリーンサイズ、IPアドレス、位置情報などを収集される。攻撃者はこうした情報を使い、被害者のデバイスに合わせて最適化したフィッシングページを提示。Microsoft 365やOkta、VPNポータルなどに見せかけたこうしたフィッシングページによりセッションクッキーを盗み、リプレイ攻撃を仕掛けることで、多要素認証（MFA）をバイパスして被害者のクラウドアカウントを乗っ取るという。

企業や組織が支給するPCとは異なり、ネットワーク検査の境界外にある管理対象外のモバイル端末が侵害の経路となることから、クイッシングは攻撃者にとって信頼度が高く、MFA耐性のあるID侵害経路の1つとみなされているとFBIは指摘している。

KimsukyはAPT43やVelvet Chollimaなどの呼び名でも知られ、遅くとも2012年から活動。米国や日本、韓国の組織などを狙ったインテリジェンス収集を主に行ってきたとされる。今回FBIがリリースしたアドバイザリでは、2025年5月〜6月に観測された、国外のアドバイザーや大使館の職員、シンクタンクの職員などを装ったスピアフィッシングメールの事例が紹介されている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

OSINT関連レポート

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート