1. MENU
  2. >詐欺対策安全生活部
  3. >2026年の記事

Instagramから「身に覚えのないパスワードリセット」が届いたら?1,750万件攻撃の真相と今すぐできる対策

※当サイトはアフィリエイトプログラムを利用しています。

現在、世界中のInstagramユーザーを標的とした「不審なパスワードリセット通知」が急増するといった事件が発生。
2026年1月、Instagramのシステム不備と大規模なデータ漏洩が重なり、これまでにない攻撃が展開されています。

Instagramは1月11日、外部から大量のパスワードリセットメールを送信できた脆弱性を修正したと公式に発表しました。
レートリミット機能も復旧し、同じ手口での攻撃は防げるようになっています。

しかし、脅威は完全には終わっていません。1,750万件の個人情報は闇サイトに出回ったままです。

詐欺の心配一切なし!ワクワクメールへGO

なぜ本物のInstagramから通知が届いたのか

2026年1月、Instagramユーザーを標的とした前例のない攻撃が発生しました。
最大の特徴は、フィッシングメールではなくInstagramの正規ドメインsecurity@mail.instagram.comから「本物の通知」が届くという点です。

Instagramユーザーを標的とした攻撃が成立した3つの要因

なぜ、世界中のInstagramユーザーに突然「パスワードリセット通知」が届いたのでしょうか。
そもそもそこが私には疑問だったのですが、レポートを読むと「1,750万件」のデータ漏洩が既に起きていたからなんですね。

  • 1️⃣1,750万件のデータ漏洩
    闇サイト「BreachForums」にて、約1,750万件のInstagramユーザーデータが公開されました。
  • ・ユーザーネーム(アカウント識別子)
  • ・メールアドレス(連絡先・ログイン標的)
  • ・電話番号(SMS認証・SIMスワップの準備)
  • ・氏名住所(なりすまし攻撃に利用)
  • 2️⃣システム更新時重大な脆弱性が発生
  • ・レートリミットの欠如
    送信制限機能がバグで無効化され、秒間何十通ものリセット要求が処理された
  • ・リクエスト検証不足
    画像認証(CAPTCHA)などのセキュリティ対策が一時的に機能せず、ユーザーネームだけで外部からメール送信をトリガーできる状態に

3️⃣完璧なタイミングでの攻撃
攻撃開始のタイミングで、Instagram側の「大量送信を制限できない不具合」が重なりました。
結果、世界中のユーザーに「本物の通知」が届く異常事態となったのです。

なぜ完璧なタイミングで攻撃できたのか

データ漏洩と攻撃は犯罪者側が行うものですが、Instagramの不具合は、Instagram側で起きるもの。
犯罪者が手にしたデータを利用したにしても、攻撃のタイミングがピッタリすぎて、戸惑いました。

が、少し視点を変えると腑に落ちました。
企業がセキュリティ対策で攻撃の監視や防御をしているように、犯罪者は隙が出来るのを監視し、隙があれば攻撃するからです。
犯人がシステムの不備を察知する裏側には、いくつかの方法があります。

24時間の自動監視(スキャン)
犯罪者はプログラムを使って、Instagramのような巨大サイトの「隙」を常にチェックしています。
例えば、「パスワードリセットの窓口」にテスト送信を繰り返し、画像認証(CAPTCHA)が消えたり、送信制限(レートリミット)が外れた瞬間に「アラート」が出る仕組みを構築しています。

2026年1月、Instagramがシステム更新などした際に、一時的に画像認証や送信制限が外れる「バグ」が発生しました。
犯人はこの瞬間を、スキャンプログラムによってリアルタイムで検知したはず。

ゼロデイ攻撃(Zero-day)
今回のケースのように、企業が不具合を修正する前(0日目)に攻撃を仕掛けることを「ゼロデイ攻撃」と呼びます。
企業がバグを見つけ、修正しようとしている最中に、犯人はすでに攻撃を開始しているのです。

ユーザー情報を温存
犯人はどこか別の場所や過去のスクレイピング(公開情報の収集)などで、すでに1,750万件分のInstagramユーザー情報を入手していました。
しかし、Instagramのガードが固い平時にこれを使っても、すぐにブロックされてしまい効果がありません。
そのため、このリストを「使い物になる瞬間」まで温存していました。

攻撃者の真の狙いはあなたの心理的な隙

技術的なハッキングよりも、攻撃者が重視するのはソーシャルエンジニアリング(人間のミスを誘う手法)です。
ハッキングよりソーシャルエンジニアリングの方が簡単に騙せて、攻撃者にとって都合が良いもの。

3つの心理操作

1️⃣「緊急性」と「恐怖」の操作
大量の通知でパニックを誘発し、「24時間以内に対応しないと削除」といった脅し文句で冷静な判断力を奪います。

2️⃣「オオカミ少年」効果
大量の偽通知を日常的なノイズと思わせることで、将来の本物の侵害通知を見逃させる狙いがあります。

3️⃣二次詐欺への布石
「あなたのアカウントが狙われています。保護のために認証コードを教えてください」と公式を装って近づくための準備段階です。

多様化する攻撃シナリオ

ソーシャルエンジニアリングは、今回のInstagramユーザーに向けられたもの以外にも、日常的にあなたの目の前に存在しています。
フィッシングメールによくある文言はソーシャルエンジニアリングの典型的な例で、あなたを心理的に操ろうとしているのです。

攻撃シナリオ 誘い文句 真の目的
友人からの救済依頼 「新しいスマホでログインできないから、君に届くコードを教えて」 被害者のアカウントをリセットして乗っ取る
著作権侵害の警告 「君の投稿が著作権に違反している。削除を避けるにはこちらから確認を」 偽のログインページで認証情報を盗む
公式サポートを装う 「あなたのアカウントがハッキングされた。セキュリティ保護のために再設定が必要」 二次的なフィッシングサイトへ誘導する
偽のアンバサダー募集 「ブランドのアンバサダーに選ばれた。こちらから投票/登録を」 登録用リンクを装ったリセットリンクをクリックさせる

詐欺の心配一切なし!ワクワクメールへGO

目次へ

Instagramからの通知、本物と偽物を見分ける方法

「security@mail.instagram.comから届いたメールだから本物だと思った」と、多くの人がそう判断するでしょう。
実際、ドメインは本物です。

しかし今回の攻撃では、その「本物の通知システム」が悪用されています。
見分ける重要なポイントは「送信元」ではなく「あなたがリクエストしたかどうか」という一点だけです。

Instagramから「パスワードを変更してください」というメールは届きません
パスワードリセットメールは、あなた自身が「パスワードを忘れた場合」からリクエストした時だけ送られます。
自分でリクエストしていないメールは、たとえ本物のドメインからでも無視してください。

Instagram公式メールの確認方法

不安な場合はメール内のリンクを踏まず、必ずアプリ内で確認しましょう。

1. プロフィール → [設定とプライバシー] → [アカウントセンター]

2. [パスワードとセキュリティ] → [最近のメール]

3. 過去14日間にInstagramから送信されたセキュリティ関連メールが表示されます。

Instagram公式メールアドレス一覧

アカウントのセキュリティに関する正規メールは、以下のドメインから送信されます。

  • ・@support.facebook.com
  • ・@support.instagram.com
  • ・@facebookmail.com
  • ・@mail.instagram.com
  • ・@global.metamail.com

Instagramがダイレクトメッセージでセキュリティについて連絡することは絶対にありません。

詐欺の心配一切なし!ワクワクメールへGO

目次へ

今すぐ実行すべきInstagram3つのセキュリティ強化

ここからは具体的な防御策です。特に1と2は最優先で。この2つを実行するだけでも、アカウントの安全性は大幅に向上します。

1. 【最重要】二要素認証を認証アプリに変更

SMS認証は電話番号が漏洩している場合、SIMスワップ攻撃のリスクがあります。

  • 推奨アプリ
  • ・Google Authenticator
  • ・Microsoft Authenticator
  • ・Authy

設定方法
[設定とプライバシー] → [アカウントセンター] → [パスワードとセキュリティ] → [二要素認証]

2. セキュリティチェックアップを実行

[設定とプライバシー] → [アカウントセンター] → [パスワードとセキュリティ] → [セキュリティチェックアップ]

  • 確認項目
  • ・ログインアクティビティ
    知らないデバイスがあれば即座にログアウトさせ、パスワードを変更
  • ・連絡先情報
    メールアドレスや電話番号が書き換えられていないか確認

3. パスワードの変更

不審なログインがあった場合は、すぐにパスワードを変更してください。

  • 安全な変更方法
  • ・メール内のリンクは絶対に使わない
  • ・必ずアプリ内、または公式ウェブサイト(https://www.instagram.com)から変更

対応の鉄則
身に覚えのないリセットメールは、本物のドメインからでも絶対に無視
リンクをクリックしない
「キャンセル」ボタンも押さない
不安な場合はアプリから直接確認

詐欺の心配一切なし!ワクワクメールへGO

目次へ

リンクを押してしまった場合の対処法

「身に覚えのないメールが届いて不安になり、思わずリンクを押してしまった」そんな経験をした人は少なくありません。
まずは落ち着いてくださいね。押しただけなら、被害は限定的です。

以下に危険度と対処法をまとめています。

【低リスク】「let us know(お知らせください)」のリンクを押しただけ

本物のInstagramのリンクであれば、単に「パスワードリセットをキャンセルした」という記録が残っただけで、パスワードは変更されていません。

  • 今すぐやること
  • ・アプリ内で[ログインアクティビティ]を確認
  • ・不審なログインがなければ、基本的に問題なし
  • ・念のため、今後数日間はログイン履歴を定期的にチェック

⚠️
攻撃者は「このユーザーは反応する人だ」と学習する可能性があります。
今後、より巧妙なフィッシングメールが届くリスクが高まるため、警戒レベルを上げましょう。

【中リスク】パスワードを入力してしまった

リンク先のページでパスワードを入力した場合、そのサイトが偽物(フィッシングサイト)だった可能性があります。

  • 今すぐやること
  • ・即座にパスワードを変更
    必ずアプリ内、または公式サイト https://www.instagram.com から
  • ・[ログインアクティビティ]で不審なデバイスがないか確認
  • ・知らないデバイスがあれば、すぐにログアウトさせる
  • ・同じパスワードを使っている他のサービスも、すべて変更する

⚠️
メールやSMSで届いた認証コードは、絶対に誰にも教えないでください。Instagram公式がコードを尋ねることも一切ありません。

【高リスク】認証コードを誰かに教えてしまった

認証コードを誰かに教えてしまうということはないと思いますが、念のために書いておきます。
これは緊急事態です。攻撃者があなたのアカウントにログインできる状態になっている可能性が高いです。

  • Instagramにログインできるか確認
  • ・Instagramにログインできる場合
    すぐにパスワードを変更し、全デバイスからログアウト
  • ・Instagramにログインできない場合
    すでに乗っ取られています。下記「万が一アカウントが乗っ取られたら」のセクションへ
  • 二要素認証の設定を確認
  • ・攻撃者が設定を変更していないかチェック
  • ・SMS認証になっている場合は、認証アプリに変更
  • 連絡先情報を確認
  • ・メールアドレスや電話番号が書き換えられていないか確認
  • フォロワーに警告
  • ・可能であれば、ストーリーやDMで「アカウントが一時的に危険な状態にあった」と伝える
  • ・あなたからの不審なメッセージには注意するよう呼びかける

今後のために予防策を

どのケースであっても、以下の対策をInstagramで実行しましょう。

  • ・二要素認証を認証アプリに変更(SMS認証は危険)
  • ・定期的にログイン履歴をチェック(週に1回程度)
  • ・パスワードを他のサービスと使い回さない
  • ・今後は身に覚えのないメールのリンクを押さない

不安な場合は、メール内のリンクではなく、必ずInstagramのアプリから直接確認する習慣をつけましょうね。

万が一アカウントが乗っ取られたら

1. ログイン画面の「ヘルプが必要な場合」からサポートリクエストを送信
2. 「ビデオセルフィー(自撮り動画)」による本人確認が求められることがあります
3. 過去に顔写真を投稿している場合、AI照合でアカウント回復の可能性が高まります

詐欺の心配一切なし!ワクワクメールへGO

目次へ

残る脅威、個人情報は闇サイトに出回ったまま

Instagramは1月11日、外部から大量のパスワードリセットメールを送信できた脆弱性を修正したと公式に発表しました。
レートリミット機能も復旧し、同じ手口での攻撃は防げるようになっています。

しかし、脅威は完全には終わっていません。1,750万件の個人情報は闇サイトに出回ったままです。
この情報には以下が含まれています

  • ・ユーザーネーム
  • ・メールアドレス
  • ・電話番号
  • ・氏名・住所

攻撃者はこのデータを「温存」し、次の機会を狙う可能性があります。
特にフィッシングメールは、Instagram以外でも、様々なサービスに成りすまして、あなたの元に届くと予想できます。
今後予想される二次攻撃

  • ・フィッシングメール(漏洩したメールアドレス宛)
  • ・SIMスワップ攻撃(電話番号を悪用)
  • ・なりすまし詐欺(個人情報を使った)
  • ・他サービスへの不正アクセス(同じメールアドレスを使用している場合)

データ漏洩の規模については専門家の間でも見解が分かれ、議論が続いているそうなんですね。

  • ・Malwarebytes
    1,750万件のデータが漏洩
  • ・セキュリティ研究者Troy Hunt
    実際には620万件のメールアドレスのみで、多くは公開情報から収集されたもの
  • ・Meta(Instagram)
    システムへの侵入はなく、単なるスクレイピング(公開情報の収集)

規模がどうであれ、あなたの情報が攻撃者の手にある可能性は否定できないのは確か。
だからこそ、今すぐ対策を実行する必要があるのです。

あなたのパスワードなどが情報漏洩していないか、無料で使える「Have I Been Pwned?」というサービスをまとめています。

パスワード流出してない?Have I Been Pwned?で今すぐ確認!無料で使える情報漏洩チェックツール

攻撃者が狙うのは「あなたの焦り」

システムがどれほど強固でも、人間は騙されます。攻撃者が本当に狙っているのは、あなたのパスワードではなく、あなたの「焦り」や「不安」です。
身に覚えのないリセットメールは、誰かがあなたの家のドアを叩いている音に過ぎません。
ドアを開けず(ボタンを押さず)、無視するのが最大の防御です。

今日からできる3つの習慣
不審なメールが届いたら、まずアプリで確認
二要素認証は必ず認証アプリで設定
定期的にログイン履歴をチェック

あなたのアカウントを守れるのは、あなた自身です。今すぐセキュリティ設定を見直しましょう。

目次へ