Cyber Security Intelligence Vox

Gigazineの記事では『マクドナルドの求人サイト「McHire」に管理者用のログイン画面があり、そこに「123456」というパスワードを入れたところアクセスできてしまったと、セキュリティ専門家のイアン・キャロル氏とサム・カリー氏が報告しました。管理者用のページから応募者の情報を簡単に閲覧できたこともわかっています。』と記している。

上記記事を受けて、ITmediaのブログでは『例えば、同じ権限で5人が別々なIDとパスで利用している場合、各自適切なパスワード管理等が出来ていても、1人だけ123456のようなパスを使っていれば、他の4人がどれだけ適切なセキュリティ管理をしていても、セキュリティ強度は一番低いレベルに落ちるのです。』と記している。

あくまで米国での話ではありますが、Gigazineの記事では『キャロル氏らがこのリンクにアクセスし、何気なくユーザー名とパスワードに「123456」と入力したところ、すぐにログインできてしまったとのことです。この「123456」という認証情報はデフォルトで設定されるもので、管理者が設定を変更していなかったことが原因だと考えられます。』と記しており、デフォルト設定のパスワード自体が非常に危険であることも分かっています。

それを受けたITmediaブログ記事でも、情報セキュリティの強度レベルは、その組織やシステムの「最低レベル」に設定されてしまうという特性を分かりやすく説明しています。いわゆる「桶」の理論です。

その理論で言えば、デフォルトパスワードが情報セキュリティレベル最低で設定されていること自体が、導入企業の情報セキュリティレベルを大幅に下げるという事に直結する、ウソの様な事例でした。

https://gigazine.net/news/20250710-mcdonalds-job-hire-leak/?utm_content=20250710-mcdonalds-job-hire-leak

マクドナルドが使う求人サイトのパスワードが「123456」で応募者情報6400万件が流出

https://blogs.itmedia.co.jp/niikura/2025/07/6400123456.html#utm_medium=email&utm_source=ent-mag&utm_campaign=20250717

マクドナルドが求人サイトで6400万件流出の123456なパスで考える本当の弱点

https://note.com/connectone/n/n214bcf01e57f

第2話 セキュリティ桶の理論

ITmedia エンタープライズのコラム「半径300mのIT」では『JR東日本の子会社で、駅ビルの商業施設を運営するアトレが、旧「アトレカード」の裏面に記載しているQRコードをスマホなどで読み込まないようにユーザーに呼び掛けた件についで、QRコードが人には読めず、埋め込まれたURLや文字列をスキャン前に知ることができないリスクが根底にある』と記している。

『QRコードを利用したフィッシングは「クイッシング」とも名付けられており、今や決済にまで広がった用途に、攻撃者も目を付けています。』と記している。

このコラムでは『スマートフォンのOCR機能がほぼ実用的になっていることを考えると、リスクの混入しやすいQRコード経由よりも、むしろそのままURLを記載し、スマホ自身に文字として読み取らせる方がいいのかもしれません。そうすれば完全に悪意のある別ドメインに遷移することを防ぐことは可能です。』と記しており、セキュリティの観点からURL記載という昔の方式の方が、可読性が高くて良い、とまとめています。

元々の問題であるドメインを含めた情報資産管理不足は依然として問題ですが、その悪用を防ぐという意味では、可読性を優先してスマホの計算パワーを使った方が良いという意見にはなるほどと思いました。

また、この発想の面白いところは、OCR機能という情報漏えいにもつながる技術を、逆手に使って詐欺を防ぐ点にあります。

https://www.itmedia.co.jp/enterprise/articles/2507/15/news036.html

QRコードはもう止めて……　筆者が「これはいけるかも？」と思う代替策

https://www.itmedia.co.jp/news/articles/2507/02/news058.html

旧「アトレカード」のQRコード読むと“不審なサイト”に、注意呼び掛け　ドメイン管理の不備か

https://www.atre.co.jp/news/5360/

【お知らせ】旧アトレカードをご利用のお客さまへ

ITmediaNewsは『滋賀県教育委員会は7月1日、不正アクセスによる改ざんを受けて5月27日から閉鎖している県立図書館の公式Webサイトについて、原因調査の結果を発表した。管理用ソフトに対する総当たり攻撃の痕跡を発見した他、システム更新の不備が判明したという。』と報道している。

『保守管理業者に依頼した調査で、サーバログも分析し、Webサイトの管理ソフトに対する総当たり攻撃の痕跡を発見。県教委はWebサイト管理ソフトに何者かが不正ログインし、サイトを改ざんしたとみている。』と報告している。

総当たり攻撃は、アクセスログとは違いますが、例えばID/PWエラーなどのログ件数などを見れば異常は検知可能でしょう。攻撃側も、１回総攻撃してみてから、その反応（IPアドレスブロックなどの対応）がされていなければ、誰も見ていないとわかるので、あとは「ノンビリ」攻撃すればいいわけです。

これから攻撃、もしくは今攻撃しています、という兆候がせっかくあったのに、サイト改ざんされてしまっています。

保守管理業者は、スポットで作業委託されるだけで、運用全般を受けているわけではないでしょう。また、そうした委託もしていないのでしょう。これでは予兆も何もなく、被害が出ないと分かりません。

https://www.itmedia.co.jp/news/articles/2507/01/news103.html

総当たり攻撃の痕跡や、システム更新不備が判明──1カ月ぶり復旧の滋賀県立図書館公式サイト、原因調査の結果を公開

https://www.pref.shiga.lg.jp/edu/hodo/oshirase/344978.html

県立図書館ホームページの再開について

ITmedia Newsは『JR東日本の子会社で、駅ビルの商業施設を運営するアトレ（東京都渋谷区）は6月27日、旧「アトレカード」の裏面に記載しているQRコードをスマホなどで読み込まないようにユーザーに呼び掛けた。不審なサイトにつながるという。』と報道している。

『アトレカードの裏面には、同社が「アトレクラブ」会員向けに提供していたWebサービス「マイアトレ」で2015年度まで使用していたドメイン「atre-club.jp」のURLをQRコードにして記載していた。しかしatre-club.jpはサービス終了後になんらかの理由で失効し、第三者の手に渡ったとみられる。』と報告している。

『なお編集部で確認したところ、当該URLはアクセスできない状態になっていた（7月2日午前11時現在』とあるので、実害はない様ですが、こっそりと詐欺サイトを開設されたら一発でアウトです。

こうしたドメイン名やそうした関連のものは、情報資産という形で管理されることが多く、その責任者や有効期限について、台帳管理されることが一般的です。

定期的に棚卸ししないと台帳自体の有効性がなくなるので、使っている場合は更新を、そうでない場合には影響度を管理責任者が考慮して延長等をすることになると思います。

そうしたガバナンスの基本のキがどこかでうまく動かなかったのでしょう。

https://www.itmedia.co.jp/news/articles/2507/02/news058.html

旧「アトレカード」のQRコード読むと“不審なサイト”に、注意呼び掛け　ドメイン管理の不備か

https://www.atre.co.jp/news/5360/

【お知らせ】旧アトレカードをご利用のお客さまへ