米、マクドナルドのアプリや関連ポータルで複数の脆弱性-クルーの個人情報漏洩 リスクやクーポンを複数利用できるなど

セキュリティニュース

投稿日時: 更新日時:

米、マクドナルドのアプリや関連ポータルで複数の脆弱性-クルーの個人情報漏洩やクーポンを複数利用できるなど

独立研究者BobDaHacker氏の調査レポート(2025年8月17日)を基に、マクドナルドのモバイルアプリと関連ポータルで相次いで見つかった脆弱性と、適切な報告窓口が存在しなかった問題を整理します。

クライアント側のみの検証、機密ポータルの登録無認証、APIキーのフロント露出、検索インデックスの過剰公開、低権限からの越権、管理APIの無認証など、初歩的な欠落が並びました。

脆弱性の概要

最初に見つかったのは、マクドナルド公式アプリのリワード機能がサーバー側で十分に検証されておらず、クライアント側の処理だけでポイントを消費できてしまう不備でした。連絡先が分からないまま個別に伝えた結果、数日後には修正が入り、この段階で脆弱性そのものは解消されています。

その後に調べたブランド資産ポータル(Feel-Good Design Hub)では、当初はクライアント側パスワードだけで保護されていたものが、

報告から約3か月を経てアカウント制に切り替わっていました。

しかし、登録用エンドポイントが無認証で残っており、入力漏れをエラーメッセージで丁寧に教えてしまう状態のままです。登録後の初期パスワードが平文メールで送られてくる運用も確認でき、ここに別のリスクがありました。

フロントエンドのJavaScriptには通知サービスのAPIキーとシークレットが露出しており、理屈の上ではユーザー一覧の取得や、マクドナルド名義に見える通知の送信まで可能でした。報告後に鍵は撤去・回転されていますが、合わせて検索基盤の設定も甘く、アクセス申請者の氏名やメールアドレスを含むインデックスが列挙・検索できる状態が見つかりました。

社内向けの各種ポータルでは、権限境界の甘さも目立ちました。店舗クルー相当の低権限アカウントで、全社の人事検索に到達でき、EIDや氏名で検索して詳細を引き出せる機能に触れられたケースがあります。

中には“なりすまし開始”のインターフェースが露出していた画面もありました。

さらに、フランチャイズ向けの標準ツールでは管理系APIに認証がなく、トップページの内容を書き換えられることを短時間の実証で確認し、直ちに原状に戻しています。

米、マクドナルドのアプリや関連ポータルで脆弱性

画像:BobDaHacker氏の調査

ドキュメント配信の仕組みでも設定不備があり、クルー権限で社内資料を読めてしまう箇所がありました。

マクドナルドが展開する飲料に特化した新ブランドのCosMc’sのアプリでは、新規会員向けの一回限りクーポンがクライアント側の制御に依存しており、APIを直接呼べば複数回使えてしまう実装が残っていました。注文データのサーバー側バリデーションも緩く、任意データを注入できる余地があったため、注意喚起の目的で検証を行っています。

マクドナルドが展開する飲料に特化した新ブランドのアプリで複数回クーポンを利用できる脆弱性.png

画像:BobDaHacker氏の調査

脆弱性の報告先が無い

技術面と同じくらい深刻だったのが、報告の受け皿がなかったことです。security.txtは一度設置されたものの数か月で撤去され、Wayback Machineで過去の情報を探っても連絡がつきませんでした。最終的には本社の代表電話に何度もかけ、社内の担当者名を伝えて折り返しをもらうという手段で窓口にたどり着いています。

多くの問題は最終的に修正された一方で、正式な報告窓口や方針は整備されないままで、協力したクルーが“セキュリティ上の懸念”を理由に契約終了となるなど、運用面の課題も浮き彫りになりました。

どこが問題だったのか

  • 認証・認可の欠落:登録・管理系エンドポイント、社内ポータルのロール境界、管理APIに認証/権限チェックが未実装でした。

  • クライアント依存:リワードやクーポンの最終判定がサーバー側で行われていない点が本質でした。

  • 秘密情報の露出APIキー/シークレットのフロント配布検索インデックスの過剰公開が重なっていました。

  • 初期資格情報の脆弱運用平文メールでの初期パスワード送付は2025年時点では許容できません。

  • 報告受け皿の不在security.txt/VDPの未整備が、修正までの時間を延ばしました。

参照

https://bobdahacker.com/blog/mcdonalds-security-vulnerabilities