最近、Instagramから身に覚えのないパスワードリセットメールが届いていませんか?実は今、多くのInstagramユーザーに同様のメールが大量に届いているとSNSなどで報告されています。しかも、セキュリティ企業Malwarebytesが「約1,750万件のInstagramアカウント情報が流出した可能性がある」と報告しているんです。
Instagram公式とセキュリティ企業の見解が食い違っているこの問題について、何が起きているのか、そしてどう対処すべきかをわかりやすく解説します。
実際に何が起きているのか
現在、多数のInstagramユーザーに「パスワードをリセットする」という内容のメールが届く現象が発生しています。メールの差出人は一見Instagram公式のように見えますが、ユーザー自身はパスワードリセットを依頼していないという状況です。
この問題は2026年1月頃から顕著になり、SNS上でも「身に覚えのないリセットメールが来た」という報告が相次いでいます。メール本文には「パスワードをリセットするにはこちら」といったリンクが記載されており、一見すると本物のInstagramからのメールのように見えるんですよね。
何が問題なのか
通常、パスワードリセットメールは本人が「パスワードを忘れた」などの操作をしたときにのみ送信されるものです。しかし今回は、何もしていないのにメールが届くため、次のような懸念が広がっています:
- 自分のアカウントが乗っ取られようとしているのではないか
- 個人情報が漏洩しているのではないか
- フィッシング詐欺の一種ではないか
特に不安なのは、このメールが本物のInstagramから送信されているように見える点です。差出人のメールアドレスも一見正規のものに見えるため、判断が難しいケースもあります。
Instagram(Meta)の公式見解
この問題について、InstagramとMeta(旧Facebook、Instagramの親会社)は公式に声明を発表しました。
Instagram側の説明によると、「外部の第三者が、Instagramの正規のパスワードリセット機能を悪用して、勝手にリセットメールを送信させることができる不具合があった」とのこと。つまり、システムの脆弱性を突かれて、本人以外の誰かが他人宛てにパスワードリセットメールを送らせることができてしまったわけです。
Metaの主張のポイント
Metaは次の点を強調しています。
- システム侵害(ブリーチ)は起きていない:Instagram自体のサーバーやデータベースに不正アクセスはなかった
- 不具合は修正済み:パスワードリセットメールを悪用できる問題は解決した
- アカウントは安全だと主張:Metaは「アカウント自体は安全で、システム侵害はない」と説明しています
- メールは無視してよい:届いたパスワードリセットメールは無視して問題ない
Meta側は「これはデータ侵害ではない」という立場を明確にしており、あくまで「外部者が正規機能を悪用してメールを送信させていただけ」という説明をしています。
セキュリティ企業の警告
一方で、セキュリティ企業Malwarebytesは、この問題について全く異なる見解を示しています。
Malwarebytesは2026年1月、ダークウェブ上で約1,750万件のInstagramアカウントに関するデータセットを発見したと報告しました。このデータには次の情報が含まれているとされています。
- ユーザー名
- メールアドレス
- 電話番号
- 物理的な住所
さらにMalwarebytesは、このデータ流出が2024年のInstagram APIの露出(API exposure)に起因する可能性が高いとMalwarebytesは分析しています。API露出とは、本来保護されるべきデータが、プログラム間の通信経路(API)を通じて意図せず外部からアクセス可能になってしまう状態のことです。
なぜ見解が食い違うのか
ここで生じる疑問は、Instagram側は「システム侵害はない」と言い、セキュリティ企業は「1,750万件のデータが流出している」と主張しているという点。
実は、両者の主張は技術的には共存し得るものなんです。
Instagram側の視点
- 「システム侵害」とは、サーバーに不正アクセスされてデータが盗まれることを指す
- 今回はパスワードリセット機能の悪用であり、データベース自体への侵入はなかった
- したがって「厳密な意味でのシステム侵害ではない」という主張
Malwarebytes側の視点
- API経由でアクセス可能だったデータが、大量に収集されダークウェブに流出している
- Malwarebytes側や一部報道では、2024年のAPIの脆弱性が原因と考えられている
- 結果として1,750万件のユーザー情報が出回っている事実がある
つまり、「どこまでをデータ侵害と呼ぶか」という定義の問題で、両者の見解が対立しているわけです。Meta側は「直接的なハッキングはなかった」という意味で「侵害はない」と主張し、Malwarebytes側は「結果として大量のデータが流出している」という事実を重視しているんですね。
ユーザーがすべき対応
では、ユーザーは具体的にどう対処すればよいのでしょうか。現状の公式見解とセキュリティ専門家のアドバイスを踏まえると、次の対応が推奨されます。
1. 届いたメールのリンクは絶対にクリックしない
まず最も重要なのは、身に覚えのないパスワードリセットメールのリンクは絶対にクリックしないことです。Meta自身も「これらのメールは無視してよい」と案内しています。
メール内のリンクをクリックすると、本物そっくりの偽サイトに誘導されるフィッシング詐欺の可能性もゼロではありません。どんなに本物らしく見えても、身に覚えのないメールのリンクは開かないのが鉄則です。メールを開いてしまった場合でも、リンクをクリックせずにそのまま削除するのがおすすめです。
2. 公式アプリ・サイトから直接ログインして確認
パスワードを変更したい場合や、アカウントの状態を確認したい場合は、必ず公式アプリまたはブラウザでinstagram.comを直接開いて操作してください。メールのリンク経由では絶対に操作しないようにしましょう。
アプリやブラウザでログインしたら、次を確認します。
- 設定 → セキュリティ → ログインアクティビティ
- 見覚えのないログイン履歴や端末がないかチェック
- 不審なアクティビティがあれば、すぐにパスワードを変更
3. パスワードの使い回しを見直す
もしInstagramのパスワードを他のサービスでも使い回している場合は、必ずパスワードを変更してください。特に次のサービスと使いまわすのは非常に危険です。
- 金融系サービス(銀行、クレジットカード、証券口座など)
- メールアドレス
- その他のSNSアカウント
- オンラインショッピングサイト
パスワードは各サービスで異なるものを設定するのが基本です。管理が大変な場合は、パスワード管理アプリの利用も検討してみてください。個人的には異なるプラットフォーム間でもスムーズに利用できる1Passwordを愛用しています。
4. 二要素認証を強化する
Instagramの二要素認証を設定している方も多いと思いますが、この機会に認証方法を見直しましょう。
特に、SMS認証よりも認証アプリ方式の方が安全性が高いとされています。SMSは電話番号さえ乗っ取られれば認証コードを横取りされる可能性がありますが、認証アプリ(Google AuthenticatorやMicrosoft Authenticatorなど)は端末に紐づいているため、より安全です。
- Instagram アプリを開く
- プロフィール → 設定 → セキュリティ
- 二要素認証 → 認証アプリを選択
- 画面の指示に従ってアプリと連携
5. 個人情報の公開範囲を確認
今回の問題では、メールアドレスや電話番号などの情報が流出した可能性が指摘されています。この機会に、プロフィールに表示する個人情報を最小限にすることも検討しましょう。
- メールアドレスや電話番号の公開設定を確認
- 位置情報の共有設定を見直す
- ストーリーやDMの公開範囲を再確認
まとめ:慎重に対応し、公式情報を待つ
今回のInstagramパスワードリセットメール問題は、Meta側とセキュリティ企業側で見解が分かれており、実際のリスクの大きさについては現時点で結論が出ていない状況です。
ただし、どちらの見解が正しいにせよ、身に覚えのないメールは無視し、必要な設定変更は公式アプリやサイトから直接行うという対応が最も安全です。
前述したように、パスワードの使い回しをやめる、二要素認証を強化するといった基本的なセキュリティ対策は、今回の問題に限らずすべてのオンラインサービスで有効ですから、この機会にぜひ見直してみてください。
今後、新しい公式発表や追加情報が出る可能性が高いため、信頼できるニュースソースやInstagram公式の更新を継続的に確認することも重要です。不安な点があれば、Instagram公式のヘルプセンターを確認するか、公式の最新情報を待つのが確実ですね。何より大切なのは、焦って怪しいリンクをクリックしないこと。冷静に対処していきましょう。
