マクドナルドAI採用システムが「123456」パスワードで6400万件流出

• マクドナルドのAI採用システムが脆弱なパスワードで6400万件の応募者データを流出
• 「123456」という初期設定パスワードが管理者パネルへの不正アクセスを許可
• AI技術導入時のセキュリティ管理とベンダー監視の重要性が浮き彫りに

SEOの常識を覆す
AIライティングエージェント

プロフェッショナルの業務フローを完全再現するAIの活用で、飛躍的な品質向上とコストダウンの両立。「magicss」でAI時代のSEO＆AIOを実現してみませんか？

今なら 1記事無料で生成可能（カード登録不要）

最短3分で無料体験する

「123456」パスワードが引き起こした大規模データ流出

マクドナルドが採用プロセスで使用しているAIチャットボット「Olivia」を搭載したMcHireプラットフォームで、深刻なセキュリティ脆弱性が発見されました。研究者らは、管理者パネルに設定されていた「123456」という極めて脆弱なデフォルトパスワードを使用して、わずか30分程度で約6400万件の求職者データにアクセスすることに成功しました[1]。

流出したデータには、求職者の個人情報、連絡先、応募履歴、さらには認証トークンなどの機密情報が含まれていました。このプラットフォームは、マクドナルドの約90%のフランチャイズ店舗で使用されており、影響の規模は極めて大きなものとなっています[2]。

API脆弱性とIDOR攻撃による大量データアクセス

研究者らは、脆弱なパスワードによる管理者パネルへのアクセスに加えて、IDOR（Insecure Direct Object Reference）脆弱性を悪用してAPIから大量のデータを取得しました。この手法により、システム内の応募者データに順次アクセスし、APIの番号パターンから6400万件以上の応募データが存在することを確認しました[3]。

特に深刻なのは、このAPIアクセスが認証なしで実行可能だったことです。攻撃者は一度管理者権限を取得すれば、システム内の全ての求職者データに制限なくアクセスできる状態でした。流出したデータには、氏名、電話番号、メールアドレス、応募職種、面接スケジュールなどの詳細な個人情報が含まれていました[4]。

AI採用システムのセキュリティリスクと企業責任

今回の事件は、AI技術を活用した人事システムの普及に伴う新たなセキュリティリスクを明確に示しています。マクドナルドのMcHireシステムを開発・運営するParadox.ai社は、研究者からの報告を受けて迅速に脆弱性を修正し、2025年7月1日までに問題を解決しました[5]。

しかし、流出したデータは既にフィッシング攻撃やなりすまし詐欺などの悪用リスクにさらされています。求職者の個人情報と連絡先が組み合わされたデータは、サイバー犯罪者にとって極めて価値の高い情報となります。企業は技術ベンダーとの契約において、より厳格なセキュリティ基準と定期的な監査体制を確立する必要があります[6]。

まとめ

マクドナルドのAI採用システムで発生した今回のデータ流出事件は、デジタル変革を進める企業にとって重要な教訓となります。技術革新の恩恵を最大化するためには、基本的なセキュリティ対策の徹底と、継続的な監視体制の構築が不可欠です。企業は、AI技術の導入において、利便性と安全性のバランスを慎重に検討し、求職者や顧客の信頼を守るための責任を果たす必要があります。

参考文献

• [1] McDonald’s AI Recruitment Exposes Staff Data to Hackers … Password ‘123456’
• [2] McDonald’s AI bot spills data on job applicants
• [3] McDonald’s hiring platform exposes 64M job applications
• [4] McDonald’s AI recruiting platform had a really embarrassing security flaw
• [5] McDonald’s AI Hiring Tool McHire Leaked Job Seekers Data of 64 Million
• [6] McDonald’s AI Hiring Tool Exposed Millions of Applicants