サイトセキュリティ

パスワード『123456』で6400万人の応募者データにアクセスできた――McDonald's AI採用ツール事件とデフォルト認証の致命的リスク

セキュリティ研究者がMcDonald'sのAI採用サイトのログイン画面でパスワードに「123456」と入力したら、管理者としてログインできました。そこからAPI上のID番号を1ずつ減らしていくと、6400万人分の応募者の個人情報にアクセスできました。名前、メールアドレス、電話番号、住所、チャット全履歴。高度なハッキング技術は不要でした。2019年から放置されたテストアカウントのデフォルトパスワードと、認証なしのAPIだけで、世界最大のファストフードチェーンの採用データベースが丸裸になったのです。

2026年4月8日8分で読めます

まずは無料で診断してみませんか？

記事を読む前に、あなたの現状を確認できます

サイト診断を始めるプライバシー診断を始める

この記事でわかること

McDonald'sのAI採用ツールの管理画面にデフォルトパスワード「123456」でログインできた
APIのIDOR脆弱性により6400万人の応募者データに順番にアクセスできた
テストアカウントは2019年から放置されていた
デフォルト認証情報の放置とAPIの認可制御不備は最も基本的で最も危険な脆弱性

何が起きたのか

McDonald'sは世界のフランチャイズの90%で、AI採用プラットフォーム『McHire』を使用しています。応募者はWebサイト上でAIチャットボット『Olivia』と会話し、名前、連絡先、シフト希望、性格テストの回答などを入力します。このシステムはParadox.ai社が開発・運用しています。

2025年6月、セキュリティ研究者のIan Carroll氏とSam Curry氏がこのプラットフォームを調査しました。McHireのWebサイトにParadox.ai従業員向けのログインページがあり、ユーザー名『123456』、パスワード『123456』で管理者としてログインできることを発見しました。

ログイン後、内部APIに対してリクエストを送ると、応募者のIDが連番で割り振られていることがわかりました。ID番号を1つずつ変更するだけで、別の応募者の個人情報が返ってきました。IDは約6418万番台。つまり6400万件以上の応募データにアクセス可能な状態でした。

30分で、過去数年間にMcDonald'sに応募したほぼすべての人の情報にアクセスできた。

2つの脆弱性の組み合わせ

この事件は、単独では軽微に見える2つの問題が組み合わさって壊滅的な被害を生んだ典型例です。

デフォルト認証情報:2019年に作成されたテストアカウントが『123456:123456』のまま本番環境で有効だった。MFA(多要素認証)も未設定
IDOR(安全でない直接オブジェクト参照):APIが応募者のIDを連番で管理しており、認可チェックなしで他のユーザーのデータを取得できた

Paradox.ai社は報告を受けた当日にテストアカウントを無効化し、翌日に両方の脆弱性を修正したと発表しています。しかしこのテストアカウントが2019年から約6年間放置されていた事実は、セキュリティレビューのプロセス自体に問題があったことを示しています。

なぜこれがサイト診断の話になるのか

『デフォルトパスワードの放置』と『APIの認可制御不備』は、McDonald'sのAI採用ツールだけの問題ではありません。あらゆるWebサイトで同じ問題が起きています。

CMSの管理画面にデフォルトの認証情報(admin/admin等)が残っている
テスト環境や開発環境のアカウントが本番環境で有効なまま放置されている
APIエンドポイントにIDを変更するだけで他のユーザーのデータが取得できる(IDOR)
管理画面にMFA(多要素認証)が設定されていない
不要なテストアカウントやテストページが削除されていない
セキュリティヘッダーが未設定でクリックジャッキングやXSSのリスクがある

攻撃者は高度な技術を使う前に、まずデフォルトパスワードを試します。『admin』『password』『123456』『test』。これだけで入れるサイトが驚くほど多いのが現実です。

AI導入がリスクを拡大している

McDonald's事件が象徴するのは、AI導入のスピードとセキュリティ投資のギャップです。2023年から2025年にかけてエンタープライズAI導入は187%増加した一方、セキュリティ支出は43%しか増えていないとの調査結果があります。

AIチャットボットは効率化のツールですが、大量の個人情報を集約する装置でもあります。そのバックエンドのセキュリティが『123456』で守られていたのがこの事件の本質です。

今すぐ確認すべきチェックリスト

管理画面にデフォルトのユーザー名・パスワードが残っていないか
テスト用・開発用のアカウントが本番環境で有効になっていないか
APIがIDの連番変更だけで他のデータを返さないか(IDOR対策)
管理者アカウントにMFAが設定されているか
セキュリティヘッダー(CSP、HSTS、X-Frame-Options等)が設定されているか
SSL/TLS設定が最新の推奨構成になっているか

まず確認すべきこと

McDonald's事件の教訓は明確です。『攻撃者は侵入しているのではなく、ログインしている』。最も高度な攻撃より、最も基本的なミス――デフォルトパスワード、未設定のセキュリティヘッダー、古いSSL設定――が最大のリスクです。まず自分のサイトの基本項目を外部視点で確認してください。

Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。

出典

SecurityWeek: https://www.securityweek.com/mcdonalds-chatbot-recruitment-platform-leaked-64-million-job-applications/

Malwarebytes: https://www.malwarebytes.com/blog/news/2025/07/mcdonalds-ai-bot-spills-data-on-job-applicants

Dark Reading: https://www.darkreading.com/application-security/lessons-learned-mcdonalds-ai-flub

INCIBE-CERT: https://www.incibe.es/en/incibe-cert/publications/cybersecurity-highlights/security-flaw-mcdonalds-ai-recruitment-system-exposes-data-millions