マクドナルドは、約6,400万人の求職者に関する機密データが漏洩したという衝撃的なセキュリティミス機密データ漏洩を受け、強い反発に直面しています。この漏洩は、管理者パスワードがデフォルト設定の「123456」だったことが原因でした。
マクドナルドは、約6,400万人の求職者に関する機密データが漏洩したという衝撃的なセキュリティミス機密データ漏洩を受け、強い反発に直面しています。この漏洩は、管理者パスワードがデフォルト設定の「123456」だったことが原因でした。
セキュリティ研究者のイアン・キャロル氏とサム・カリー氏は、2025年6月下旬にこの侵害を発見しました。彼らはマクドナルドのAI採用プラットフォームであるMcHireを調査していました。McHireはOliviaと呼ばれるチャットボットを使用して候補者を選考し、氏名、メールアドレス、電話番号、シフトの希望、さらには性格診断の結果といった詳細情報を収集しています。
研究者たちは、管理者ログインページに「Paradoxチームメンバー」というオプションがあることに気付きました。これはOliviaの開発元であるParadox.aiを指しています。ユーザー名とパスワードの両方に「123456」と入力すると、即座にアクセスできました。これは単なるテスト環境ではなく、実際の応募者データを表示するライブダッシュボードへのアクセスでした。
侵入に成功した彼らは、プラットフォームの内部APIに安全でない直接オブジェクト参照(IDOR)と呼ばれる脆弱性を発見しました。このバグにより、ID番号を変更して機密データにアクセスすることが可能になり、応募者のプロフィール全体、チャットログ、さらには候補者のなりすましに使用されたトークンまで閲覧可能になりました。このデータの量と機密性は、フィッシング、なりすまし、ソーシャルエンジニアリング攻撃の可能性について深刻な懸念を引き起こしました。
マクドナルドとParadox.aiは、6月30日に問題が発覚した後、迅速に対応しました。7月1日までにデフォルトのログイン情報を無効化し、脆弱なエンドポイントを修正しました。Paradox.aiはまた、セキュリティチェックを強化すると発表し、閲覧されたのは5件の応募者記録のみで、研究者のみが閲覧したことを明確にしました。データは公開されていません。
専門家は、このインシデントは深刻化する問題を浮き彫りにしていると指摘しています。企業は十分なサイバーセキュリティ対策を講じずにAIツールの導入を急ぎます。*「高度なAIシステムであっても、基本的な見落としによって侵害される可能性があります」*と、Black Duck ConsultingのAditi Gupta氏は述べています。この侵害は、サードパーティ製プラットフォームの利用リスクも示しており、特にセキュリティ基準が大きく異なるフランチャイズモデルにおいてはそのリスクが顕著です。
AIが採用において大きな役割を果たしている今、この事例は、採用プラットフォームを基幹業務システムと同等のセキュリティレベルで扱うべき企業にとって、警鐘となるでしょう。