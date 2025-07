2025年07月10日 12時40分 セキュリティ

マクドナルドが使う求人サイトのパスワードが「123456」で応募者情報6400万件が流出



マクドナルドの求人サイト「McHire」に管理者用のログイン画面があり、そこに「123456」というパスワードを入れたところアクセスできてしまったと、セキュリティ専門家のイアン・キャロル氏が報告しました。管理者用のページから応募者の情報を簡単に閲覧できたこともわかっています。



Would you like an IDOR with that? Leaking 64 million McDonald’s job applications

https://ian.sh/mcdonalds



マクドナルドはParadox.aiという企業が作成したAIボット「Olivia」を求人サイトに統合しています。このボットが意味不明な回答をしてくるという報告が、キャロル氏の調査のきっかけでした。



キャロル氏はまず地元のマクドナルドで求人に応募しました。すると、すぐOliviaが対応し始め、メールアドレスと電話番号、勤務可能なシフトを入力する手伝いをしてもらい、次の段階である「性格テスト」に進みました。性格テストの後は人間による審査が行われるようで、待ち時間が発生し、Oliviaの性能を検証しようとしても似たような文章しか返さないため手持ち無沙汰になったそうです。





そこでキャロル氏が目を付けたのは、マクドナルドの従業員が使うために用意されたMcHireのログイン画面でした。この画面に、Paradox.aiが使うためと思われる管理者用の「Paradox team members」というリンクがあったそうです。



キャロル氏がこのリンクにアクセスし、何気なくユーザー名とパスワードに「123456」と入力したところ、すぐにログインできてしまったとのことです。この「123456」という認証情報はデフォルトで設定されるもので、管理者が設定を変更していなかったことが原因だと考えられます。





管理者用のページからは、応募者とOliviaが交わした会話を閲覧することが可能でした。





ここでキャロル氏は応募者の情報を取得するAPI「PUT /api/lead/cem-xhr」を発見します。これは、XHRリクエスト経由で顧客にまつわる何らかの情報を呼び出すもので、主要なパラメータの1つが「lead_id」であり、キャロル氏自身の会話に「64,185,742」が割り当てられていることがわかりました。キャロル氏がこの数値を減少させてみたところ、すぐに別の応募者の個人識別情報を閲覧できるようになったそうです。





これにより、実質的に6400万件を超える応募者の名前、メールアドレス、電話番号、住所、応募者が記入した希望シフトなどの情報、応募者として求人サイトにログインするための認証トークンなどが漏えいしている状態であったと、キャロル氏は指摘しています。



キャロル氏が2025年6月30日にマクドナルドへ報告したところ、およそ40分後にParadox.aiチームから返信があり、報告から約2時間で管理者用のページにサインインできなくなったとのこと。翌日に追加の連絡があり、問題が解決したことを確認したそうです。