- マクドナルドの採用AIチャットボットが単純な「123456」パスワードで保護されていた
- セキュリティ研究者が6,400万人の求職者の個人情報にアクセス可能な状態を発見
- 名前、メールアドレス、住所、電話番号などの個人データが漏洩リスクに晒される
- Paradox.ai社が報告後数時間以内に脆弱性を修正したと発表
マクドナルドAIチャットボット「McHire」で重大なセキュリティ脆弱性発見
セキュリティ研究者らは、マクドナルドに求人応募した6,400万人の個人情報にアクセスできる状態を発見した。これは主に、同社のAI採用チャットボットにユーザー名とパスワード「123456」でログインできたことが原因である。
Ian Carroll(イアン・キャロル)氏とSam Curry(サム・カリー)氏は、ブログ投稿で「数時間の簡単なセキュリティレビュー中に」このパスワード問題と内部APIの別の単純なセキュリティ脆弱性を発見したと述べた。これにより、Paradox.ai社がマクドナルドに提供するMcHireと呼ばれるチャットボットとの求職者の過去の会話にアクセスできた。
流出リスクに晒された個人情報の詳細
研究者らが確認した個人データには、応募者の氏名、メールアドレス、自宅住所、電話番号が含まれていた。これらの情報は、マクドナルドの求人に応募した数千万人の求職者のものである。
この脆弱性は、AIを活用した採用プロセスにおけるセキュリティ対策の重要性を浮き彫りにしている。特に大規模な企業の採用システムでは、膨大な個人情報が蓄積されるため、適切なセキュリティ措置が不可欠である。
Paradox.ai社の迅速な対応と修正
Paradox.ai社はブログ投稿で、研究者らの報告を受けて「数時間以内に」問題を解決したと発表した。同社は「いかなる時点でも候補者情報がオンラインで漏洩したり、公開されたりすることはなかった」と述べている。
しかし、この事件は企業がAIツールを導入する際の基本的なセキュリティ対策の重要性を示している。特に「123456」のような単純なパスワードの使用は、サイバーセキュリティの基本原則に反するものである。
AI採用システムの普及とセキュリティ課題
近年、マクドナルドのような大企業では、大量の求人応募を効率的に処理するためにAIチャットボットを活用する事例が増加している。McHireのようなシステムは、応募者との初期対話や基本的なスクリーニングを自動化し、人事部門の負担を軽減する役割を果たしている。
しかし、今回の事件は、このようなAIシステムが適切に保護されていない場合、大規模な個人情報漏洩につながる可能性があることを示している。企業はAI技術の導入と並行して、堅牢なセキュリティ対策を実装する必要がある。
Wired誌による初報と業界への影響
この研究者らの発見は、最初にWired誌によって報告された。この報道により、AI採用システムのセキュリティ問題が広く注目を集めることとなった。
今回の事件は、AI技術を活用する企業にとって重要な教訓となる。特に個人情報を扱うシステムでは、基本的なセキュリティ対策の徹底が不可欠であることが改めて確認された。
引用元:TechCrunch
AI chatbot’s simple ‘123456’ password risked exposing personal data of millions of McDonald’s job applicants
