Cyber Security Intelligence Vox

Gigazineの記事では『マクドナルドの求人サイト「McHire」に管理者用のログイン画面があり、そこに「123456」というパスワードを入れたところアクセスできてしまったと、セキュリティ専門家のイアン・キャロル氏とサム・カリー氏が報告しました。管理者用のページから応募者の情報を簡単に閲覧できたこともわかっています。』と記している。

上記記事を受けて、ITmediaのブログでは『例えば、同じ権限で5人が別々なIDとパスで利用している場合、各自適切なパスワード管理等が出来ていても、1人だけ123456のようなパスを使っていれば、他の4人がどれだけ適切なセキュリティ管理をしていても、セキュリティ強度は一番低いレベルに落ちるのです。』と記している。

あくまで米国での話ではありますが、Gigazineの記事では『キャロル氏らがこのリンクにアクセスし、何気なくユーザー名とパスワードに「123456」と入力したところ、すぐにログインできてしまったとのことです。この「123456」という認証情報はデフォルトで設定されるもので、管理者が設定を変更していなかったことが原因だと考えられます。』と記しており、デフォルト設定のパスワード自体が非常に危険であることも分かっています。

それを受けたITmediaブログ記事でも、情報セキュリティの強度レベルは、その組織やシステムの「最低レベル」に設定されてしまうという特性を分かりやすく説明しています。いわゆる「桶」の理論です。

その理論で言えば、デフォルトパスワードが情報セキュリティレベル最低で設定されていること自体が、導入企業の情報セキュリティレベルを大幅に下げるという事に直結する、ウソの様な事例でした。

https://gigazine.net/news/20250710-mcdonalds-job-hire-leak/?utm_content=20250710-mcdonalds-job-hire-leak

マクドナルドが使う求人サイトのパスワードが「123456」で応募者情報6400万件が流出

https://blogs.itmedia.co.jp/niikura/2025/07/6400123456.html#utm_medium=email&utm_source=ent-mag&utm_campaign=20250717

マクドナルドが求人サイトで6400万件流出の123456なパスで考える本当の弱点

https://note.com/connectone/n/n214bcf01e57f

第2話 セキュリティ桶の理論