McDonald’s、またもセキュリティ不備発覚 ― URLの「login」を「register」に変えるだけでアクセス可能に
ポイント
- セキュリティ研究者「BobDaHacker」が McDonald’s の 「Feel-Good Design Hub」 の重大な欠陥を発見
- URL内の “login” を “register” に変更するだけで新規アカウント作成 → 機密情報にアクセス可能
- アカウント作成時、パスワードが 平文メールで送信される という時代遅れの仕様も判明
- 適切な脆弱性報告窓口がなく、研究者は LinkedInで社員を探し、HQに電話 して報告
- McDonald’sは一部修正を行ったが、抜本的な改善や透明性は不足
発見の経緯
BobDaHackerは、マクドナルドアプリの無料ナゲット報酬を使って遊んでいた際に不具合を発見。
そこから同社の ブランド資産・マーケティング資料を扱う「Feel-Good Design Hub」 に侵入可能であることを突き止めました。
最初の問題は 「クライアントサイドのみで保護されたパスワード」。
修正後も、「login」を「register」に変えるだけで新規アカウントを作成でき、内部資料へアクセス可能でした。
セキュリティの問題点
- URL改変で突破可能:login → register の置換で不正登録可能
- 平文パスワード送信:新規登録時にメールでそのままパスワード送信
- 報告窓口の欠如:設置された security.txt ファイルは削除され、研究者は報告先を自力で調査
- 脆弱性対応の遅さ:修正に3か月以上を要し、対策も不完全
影響範囲
- アクセス可能な情報
- 「高度に機密性が高いマーケティング資料」
- 社員検索サービス(全世界の社員のメールアドレス参照可能)
- 実際のリスク
- 機密戦略情報の流出
- フィッシングや標的型攻撃の可能性増大
McDonald’sの対応
- Bobによる報告後、McDonald’sは「ほとんどの脆弱性を修正した」とされる
- しかし、セキュリティ報告チャネルは整備されず
- 報告に協力したBobの知人が解雇されるなど、不信感を招く対応も
背景
今回の件は、わずか1か月前に報告された 「パスワードが123456」問題 に続く不祥事。
企業規模やシステムの複雑性を考慮しても、基本的なセキュリティ原則が軽視されている ことが浮き彫りとなりました。
🔐 まとめ
McDonald’sの「Feel-Good Design Hub」では、初歩的な設計ミスにより重大な情報漏洩リスクが存在していました。
最大の問題は、脆弱性報告の公式窓口が存在しないこと。今後の改善がなければ、研究者や外部からの信頼を失い続ける可能性があります。
