Seats.aeroの創立者でありセキュリティ研究者でもあるIan Carroll氏は7月10日(米国時間)、「Would you like an IDOR with that? Leaking 64 million McDonald’s job applications」において、マクドナルドの求人システム「McHire」から弱い認証情報使用の脆弱性を発見したと報じた。
この認証情報を悪用すると、同社に応募した6,400万人以上の個人情報を取得することが可能とされる。この脆弱性は求人システム「McHire」を利用する店舗にのみ影響があるとされ、日本マクドナルドへの影響は定かではない。
-
Would you like an IDOR with that? Leaking 64 million McDonald’s job applications
McHireに潜む脆弱なAPI
McHireはマクドナルドのフランチャイズ店の約90%が利用するチャットボット型採用プラットフォームとされる。McHireを利用する求職者は、Paraodx.aiが開発したチャットボット「Olivia」と会話し、個人情報、シフト希望、性格診断などを受けることになる。
研究者はOliviaが意味不明な回答をするというRedditへの投稿を受け、同プラットフォームの調査を実施。性格診断ボットは不安を掻き立てる応答を返すものの、プロンプトインジェクション攻撃などは受け付けず、APIからも脆弱性は発見できなかったという。
次に、オーナー向けのMcHireログインサイトに注目して調査を続行。試しにユーザー名「123456」、パスワード「123456」を入力したところログインに成功してしまい、テスト用の店舗管理者として管理画面にアクセスできたと伝えている。
研究者は管理画面からテスト用の求人広告を発見し、その求人に応募して動作を分析している。オーナーは求職者とOliviaとの会話をすべて閲覧可能で、特定の段階で介入することも可能とされる。
不正に入手可能な個人情報とは
この会話の分析中、研究者は求職者情報を取得するAPIの存在を確認し、数値のみで構成されたIDを改ざんすることで別の求職者情報を表示できることを発見している。研究者のテスト時のIDは64,185,742で、数値を減らすことで別の情報を表示できたことから、過去に同数の応募があったと推測されている。
この操作で入手可能とされる個人情報は次のとおり。
- 氏名、メールアドレス、電話番号、住所
- 求職者が提出したすべてのフォーム入力(勤務可能なシフトなど)
- 認証トークンを使用してそのユーザーとしてコンシューマーインタフェースにログインすると、生のチャットメッセージやその他の情報にアクセスできる可能性がある
対策
研究者は6月30日(米国時間)、マクドナルドとParaodx.aiに問題を報告。その日のうちにユーザー名「123456」を使用したログインはできなくなり、翌日には解決したとされる。
なお、研究者の報告では過去の不正アクセスの有無、不正アクセスによる情報流出の程度について触れておらず、実際の影響は明らかになっていない。
Google Chromeに悪用済み脆弱性、直ちにアップデートを
