2025年7月9日、米メディアWIREDの報道により、マクドナルドの求人サイト「McHire.com」で使用されているAIチャットボット“Olivia”の開発元であるParadox.ai社のセキュリティ不備が明らかになりました。
この不備により、数千万件にのぼる応募者情報が極めて初歩的な手法で外部から閲覧可能な状態になっていたことが発覚しています。
事件の概要
問題の発端は、セキュリティ研究者 Ian Carroll 氏と Sam Curry 氏が、Oliviaが導入されているMcHire.comの挙動に疑問を持ち、検証を開始したことでした。
彼らは、Paradox.ai社向けの管理者ログイン画面を発見し、ユーザー名・パスワードを「123456」と入力したところ、なんとアクセスが成功。
多要素認証(MFA)も存在しませんでした。
このアカウントはテスト用のマクドナルド店舗に紐づいており、そこからシステム内部への操作が可能に。さらに、応募IDを変更して番号をインクリメント・デクリメントすることで、他人の応募情報や会話ログに自由にアクセスできてしまうという重大な脆弱性も見つかりました。
漏洩した可能性のある情報
Paradox.aiおよびマクドナルドの報告によると、影響を受けた情報の件数は以下の通りです:
-
最大6,400万件以上の応募ログにアクセス可能だった
-
含まれていた情報:
-
氏名
-
メールアドレス
-
電話番号
-
応募日時
-
Oliviaとのチャット履歴(履歴書の一部含む場合も)
-
なお、クレジットカード情報やパスワード、財務情報などの「センシティブ情報」は含まれていなかったと報告されています。
なぜこの脆弱性は危険なのか?
被害の対象が一般応募者であり、しかも大半がマクドナルドでの就労を希望する層=若年層や未経験者層である点で、悪用リスクが非常に高いと指摘されています。
具体的なリスク例
-
マクドナルドを装ったフィッシング詐欺(例:給与振込先を装った口座番号の入力依頼)
-
就労意欲を利用したなりすまし詐欺
-
応募歴を使った個人の恥を煽る社会的な攻撃(DoSやSNS晒し行為)
Curry氏は「応募者の個人情報だけでなく、“マクドナルドに応募している”という事実自体が、標的になり得る情報になる」と指摘しています。
マクドナルドおよびParadox.aiの対応
Paradox.aiは今回の事態を認め、次のような対応を発表しています:
-
問題のアカウント(“123456”)は2019年以降使用されておらず、削除漏れだったことを説明
-
外部第三者によるアクセスは研究者2名以外に「確認されていない」と主張
-
即日で脆弱性を修正
-
セキュリティ向上のためバグバウンティプログラムを導入
McDonald’sも声明を出し、「第三者提供元であるParadox.aiのセキュリティミスに失望している」と非難しつつ、再発防止を求める姿勢を示しました。
参照
https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/
関連記事
AIや生成AIの情報漏洩 事例を解説
カンタス航空、外部コールセンターのサイバー攻撃で570万人分の個人情報漏洩の可能性
-200x200.png)
CitrixがWindows VDAの権限昇格脆弱性(CVE-2025-6759)
Google、ChromeにおけるV8エンジンの深刻な脆弱性を修正(CVE-2025-8010,CVE-2025-8011)
伊勢醤油本舗 オンラインショップが不正アクセスにより約9千人の個人情報漏洩の可能性
Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)
Fortinet、FortiSwitchの重大な脆弱性を修正、対象者はアップデートを(CVE-2024-48887)
Elasticsearchの設定ミスで数億件の個人情報漏洩-スウェーデン国民の生活が丸裸に
Zscaler、Salesloft Driftへの不正アクセスで一部顧客の情報が漏洩した可能性
