世界最大のファストフード・チェーンであるマクドナルドは、ハッカーが同社のシステムに侵入し、米国、韓国、台湾の顧客および従業員の情報を盗み出しデータ流出事件が発生したことを公表しました。
マクドナルドは、世界最大の外食産業として、米国だけでも約14,000店舗を含む100カ国以上、39,000以上の店舗で、毎日約数億人にサービスを提供しています。
顧客の決済情報の流出はありません
2021年6月11日、マクドナルドは外部のセキュリティ・コンサルタントによる調査の結果、攻撃者が同社のシステムに侵入したことが判明したと発表しました。
また、WSJによると、マクドナルドは米国の従業員に対して攻撃者が盗むことができたのは、米国の従業員およびフランチャイズ店に属する業務連絡先のうち、個人情報や機密情報ではないものに限られると説明していました。
攻撃者は韓国と台湾のデリバリー顧客の電子メール、電話番号、住所を盗んでおり、台湾では名前や連絡先を含む従業員情報も盗まれていたとマクドナルドは述べています。同社は、被害を受けた人数は明らかにしていません
しかし、今回の事件で流出した顧客文書の数は多くなく、顧客の決済情報にも影響はないとしています。
マクドナルド社は、「事件発覚後、速やかにアクセスを遮断することができましたが、調査の結果、少数のファイルがアクセスされ、その中には個人情報が含まれていました。調査の結果、顧客の個人情報にアクセスされたのは韓国と台湾のみであり、これらのファイルに記載されている規制当局や顧客に通知する措置を取る予定です。なお、これらのファイルにはお客様の支払情報は含まれておらず、今後従業員の個人情報が含まれていたファイルについては、さらに対策を講じる予定です。」とコメントしています。
マクドナルドは、情報を保護するための効果的なセキュリティ対策の重要性を理解しており、綿密なサイバーセキュリティ対策の一環として、複数のセキュリティツールを導入するために多額の投資を行ってきました。これらのツールにより、当社のネットワーク上で発生した不正行為を迅速に特定し、抑制することができました。現在徹底的な調査が行われ、経験豊富な第三者と協力してこの調査を遂行中です。
マクドナルドは、今回の情報漏洩によって同社のレストランの営業には支障がなく、また、ハッカーがデータや業務継続を復帰させるために支払いを要求するランサムウェア攻撃も含まれていないと述べています。マクドナルド社は、身代金を要求されたことも、ハッカーに支払いを行ったこともないと述べています。
マクドナルドのサイバー攻撃は今回が初めてではない
マクドナルドがセキュリティ事件に対処しなければならないのは、近年では初めてのことではなく、2017年には、同社の公式サイトに影響を与えるクロスサイトスクリプティング(XSS)の脆弱性により、顧客の平文パスワードが流出し、修正を行っていました。
このバグを発見したセキュリティ研究者のTijme Gommers氏が明らかにしたように、攻撃者は悪意のあるリンクを作成することでセキュリティの欠陥を悪用することが可能な状態にあり、ターゲットがクリックするとローカルクッキーからパスワードデータを抽出・復号化し、平文で攻撃者に送信することができたものとなります。
2017年のセキュリティ事件においてマクドナルド社では、すべてのユーザーに対して同じ鍵と初期化ベクトルを用いて保護されたクッキーファイルにパスワード情報を保存していたため、任意のユーザーのパスワードを抽出することが可能でした。
関連ニュースとして、ゲーム大手のエレクトロニック・アーツ(EA)も、攻撃者が同社のネットワークをハッキングし、”ゲームソースコードと関連ツール “を盗まれたことを発表したばかりでした。
Comments