マクドナルドAI採用プラットフォームに「123456」パスワード脆弱性――6,400万件の個人情報が危険に

マクドナルドAI採用プラットフォームに「123456」パスワード脆弱性――6,400万件の個人情報が危険に

事件の概要

• マクドナルドが導入したAI採用プラットフォーム「McHire」（Paradox.ai提供）に極めて単純なパスワード設定（「123456」）の脆弱性が発覚。
• セキュリティ研究者が**「123456」**でバックエンドに簡単にログインし、6,400万件の応募者データ（氏名・メール・電話番号・履歴書情報など）へアクセス可能だった。

どんな情報が漏洩したのか

• McHireはAIチャットボット「Olivia」を使い、応募者の連絡先・履歴書・性格診断結果などの個人情報を収集。
• 研究者がバックエンドにアクセスし、応募者の個人情報が大量に閲覧可能な状態だったことを確認。
• Paradox側は「アクセスされた個人情報は全体の一部」と主張するが、最大6,400万件が危険に晒された。

なぜ起きた？　原因と背景

• 「123456」などの安易なパスワード設定は、過去にも多くのセキュリティ事故の原因に。
• 研究者は「admin」「123456」などでログインを試み、わずか2回目の試行で成功。
• サプライチェーン（外部委託先）管理の甘さも要因。

被害のリスク

• 氏名・メール・電話番号などの情報は、フィッシング詐欺やなりすまし、マルウェア攻撃、ID窃盗、送金詐欺などの標的になりやすい。
• 「マクドナルドに応募したことがある」という文脈を悪用した巧妙な詐欺メールが今後増える恐れ。

企業側の対応

• 脆弱性発覚後、Paradoxは即座にパスワード問題を修正。
• 「研究者以外に不正アクセスの痕跡はない」と説明。
• 今回の事例は**「安易なパスワード設定」の危険性とサプライチェーン管理の重要性**を改めて浮き彫りに。

今後への教訓・対策

• 強固なパスワードポリシーの徹底（「123456」「password」などは絶対NG）。
• サプライチェーンも含めた全体のセキュリティ監査と管理強化。
• 企業・個人ともにフィッシング詐欺や個人情報悪用への警戒が必要。

まとめ
マクドナルドのAI採用システムにおける「123456」パスワード問題は、IT化・AI活用時代における初歩的なセキュリティ管理の重要性を痛感させる事件です。今後も、企業・ユーザー双方が「基本の徹底」と「最新の脅威への警戒」を忘れないことが求められます。

参考記事

1. https://www.wired.com/story/mcdonalds-ai-hiring-chat-bot-paradoxai/
2. https://www.malwarebytes.com/blog/news/2025/07/mcdonalds-ai-bot-spills-data-on-job-applicants
3. https://www.linkedin.com/pulse/mcdonalds-ai-hiring-bot-exposes-64-million-job-ahbve
4. https://www.cm-alliance.com/cybersecurity-blog/mcdonalds-hiring-bot-blunder-ai-fries-and-a-side-of-job-seeker-data
5. https://www.indiatoday.in/technology/news/story/mcdonalds-ai-was-hiring-staff-and-serving-up-their-data-to-hackers-with-password-123456-2753601-2025-07-10
6. https://securityaffairs.com/179840/hacking/mcdonalds-job-app-exposes-data-of-64-million-applicants.html
7. https://www.bleepingcomputer.com/news/security/123456-password-exposed-chats-for-64-million-mcdonalds-job-chatbot-applications/
8. https://www.securityweek.com/mcdonalds-chatbot-recruitment-platform-leaked-64-million-job-applications/
9. https://www.bitdefender.com/en-au/blog/hotforsecurity/mchire-mcdonalds-chatbot-64-million
10. https://www.scworld.com/news/mcdonalds-mchire-chatbot-records-accessed-via-123456-password
11. https://au.finance.yahoo.com/news/mcdonalds-ai-chatbot-hacked-leaving-aussie-job-applicants-exposed-full-access-002408571.html
12. https://www.pymnts.com/cybersecurity/2025/mcdonalds-used-123456-as-corporate-password-exposed-64-million-data-files/
13. https://news.yahoo.com/hackers-used-simple-password-access-020141561.html
14. https://www.techradar.com/pro/security/mcdonalds-ai-recruiting-platform-had-a-really-embarrassing-security-flaw-which-left-millions-of-users-open-to-attack
15. https://nhimg.org/mcdonalds-ai-chatbot-mchire-exposes-64-million-job-applications-via-default-credentials?from_cat=
16. https://www.pandasecurity.com/en/mediacenter/was-the-data-of-64-million-mcdonalds-applicants-left-protected-only-by-a-flimsy-password/
17. https://moxso.com/blog/mcdonalds-hiring-system-exposes-millions
18. https://www.thedigitalspeaker.com/when-ai-hiring-meets-password-123456-the-mchire-data-breach-that-exposed-everything/
19. https://ian.sh/mcdonalds