ホーム / Critical Brief / No. 056

採用 AI の「誰が正当か」を検証しないまま、6,400 万件に手が届いた

アクセス主体の権限属性が独立検証されない構造(McHire / Paradox.ai)

Pillar 03 · エージェント権限証明 認証・認可 属性証明バイパスデータ来歴
事案日
2025-06-30
公開日
2026-06-15
発行
Lemma Critical Team
関連 Pack
Pack BRegulatory

TL;DR

「AI が応募者を選考する」と聞くと、最新の仕組みを想像する。だが 2025 年 6 月、セキュリティ研究者 Ian Carroll と Sam Curry は、マクドナルドの採用プラットフォーム McHire(Paradox.ai の AI チャットボット「Olivia」が応募対応)の管理画面に、**ユーザー名・パスワードがともに「123456」**の管理者アカウント(2019 年から放置されたテストアカウント)で入れることを発見した。さらに IDOR(Insecure Direct Object Reference) により応募者 ID を連番で列挙でき、最大 6,400 万件の応募記録(氏名・メール・電話・面接記録・IP アドレス)に到達できた。本 Brief を Pillar 03(エージェント権限証明)の観点から、「AI システムの機微データへのアクセスにあたり、『誰が正当にアクセスできるか』という権限属性が独立検証されないまま、到達がそのまま取得になっていた」構造として分析する。Paradox は通報当日に該当アカウントを無効化したが、failure primitive は推測可能な資格情報の有無ではなく、権限検証層の不在にある。Brief 057(認証なしで到達=全取得)・013(規制で保存が義務づけられた生 PII が侵害面に)・034(取得の出所が検証されない)・022(属性検証の迂回)に連なる。

事案概要

  • 対象: McHire(McDonald’s の採用応募プラットフォーム)/ Paradox.ai の AI 採用チャットボット「Olivia」
  • 発見者: Ian Carroll, Sam Curry(セキュリティ研究者)
  • 侵入の起点: 管理者向けログインに、ユーザー名・パスワードともに「123456」の有効なアカウント(2019 年から放置のテストアカウント)が存在
  • 横移動: 管理側に入った後、IDOR 脆弱性により応募者 ID を連番で列挙・取得可能
  • 露出規模: 最大 6,400 万件 の応募記録。氏名、メールアドレス、電話番号、面接(チャット)記録、IP アドレス等を含む
  • 対応: Paradox.ai は通報当日(2025-06-30)に該当アカウントを無効化・修正し、バグバウンティを開始。実際にアクセスしたのは研究者のみで、確認した記録もごく少数と説明
  • 核心: 機微な個人データへのアクセスが、推測可能な資格情報と参照 ID のみで通り、アクセス主体の権限属性が独立検証されていなかった

注: 本 Brief は実害の有無を断定するものではなく、AI システムのデータアクセスにおける権限属性検証の不在という構造を分析対象とする。

タイムライン

  • 2025-06-30: 研究者 Carroll と Curry が McHire 管理画面へ「123456」でアクセス、IDOR で応募記録の列挙可能性を確認し、Paradox.ai / McDonald’s へ通報
  • 2025-06-30: Paradox.ai が同日に該当アカウントを無効化・修正、バグバウンティを開始
  • 以降: AI Incident Database に Incident #1179 として登録

アクセスが「未検証の取得」へ伝播する経路

本件は、AI システムのデータ面へのアクセスにあたり、主体の権限属性が独立検証されない構造に起因する。

  1. 資格情報による初期到達: 管理者向けインターフェースに、推測可能な既定資格情報(123456)で有効なセッションが確立できた。「この主体が管理権限を持つか」が実質的に検証されていない
  2. 参照 ID による横移動(IDOR): 認可チェックを伴わない直接オブジェクト参照により、応募者 ID を連番で差し替えるだけで他者の記録に到達。レコード単位の権限検証が欠落
  3. 機微データへの到達=取得: 氏名・連絡先・面接記録・IP 等の個人データが、追加の検証なしに列挙・取得可能。到達がそのまま全取得になる
  4. 可視性の欠如: 正規のアクセス経路を用いるため、不正な列挙が通常のアクセスとして記録され、異常として検知されにくい

構造的論点

本件は Pillar 03(エージェント権限証明)の identity-auth カテゴリに属する。中心的な failure primitive は、AI システムの機微データへのアクセスにおいて、アクセス主体の権限属性(誰が・どのレコードまで正当か)が独立検証されないまま、到達が取得に直結することである。secondary に attribute-proof-bypass(権限属性の検証迂回)と data-provenance(応募記録という個人データの取り扱い)を併記する。

Brief 013(Coinbase の KYC インサイダー侵害=規制で保存が義務づけられた生 PII が侵害面になった)と、権限/属性の検証欠如という primitive を共有する。本件が示す新しい断面は、AI 採用ボットという領域で、しかも人間ではないシステムアカウント(non-human identity)の脆弱な資格情報が、数千万人規模の個人データへの入口になった点である。「最新の AI で選考している」という外観の裏で、データ面の認可は古典的なアクセス制御の欠陥に依存していた。Brief 057(DeepSeek)が「認証そのものの不在」だったのに対し、本件は「推測可能な資格情報+レコード単位の認可欠如」という、同じ primitive の別の現れである。

検出と証明の落差

ここでは検出チェーン — 研究者による外部調査、責任ある開示、Paradox.ai の即日修正、バグバウンティの開始 — が機能し、脆弱性は悪用が広がる前に可視化・是正された。これは検出・開示の成功例であり、本 Brief はその役割を否定しない。

しかし問題は、検出がどれほど機能しても「このアクセス要求の主体が、このレコードに対して正当な権限を持つか」を、アクセスの瞬間に独立証明する材料にはならないことである。推測可能な資格情報を 1 つ強くしても、レコード単位の認可(IDOR)という別の欠陥は残る。「正規にログインできた」「ID で参照できた」ことは、「正当な権限がある」ことの証明ではない。正規経路を使う列挙である以上、事後のログ分析は取得が起きた後に作動する後追いになりやすい。

現状、AI サービスのデータアクセスでは、権限属性の検証が個別実装のアクセス制御に委ねられ、独立した層として扱われていない。事前証明(pre-execution attestation)は、機微データへのアクセス経路に「要求主体がこのスコープの権限を正当に持つ」という属性証明を前置し、選択的開示で個人データ本体を露出させずに認可を独立検証可能にする。検出(外部調査・修正)は被害の縮小に、事前証明(アクセス時の権限検証)は認可の独立検証に、補完 的に寄与する。行動の前に独立検証する考え方は 「Proof-as-Auth: 鍵を一度も送らずにサインインする」(Lemma、2026-05)、検出と事前証明の thesis は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)を参照。

対応経緯と業界動向

  • ベンダー対応: Paradox.ai は通報当日に該当アカウントを無効化・修正し、バグバウンティを開始。実際にアクセスしたのは研究者のみと説明
  • 業界の論点: 採用・HR 領域への AI チャットボット急速導入に伴い、応募者という大規模かつ機微な個人データの保護と、システムアカウント(non-human identity)の資格情報管理が論点化
  • 規制文脈: 応募者個人データの保護(各国のプライバシー法)と、AI を用いた採用プロセスの説明責任の双方から、データアクセスの認可を検証可能な形にする要請が高まる

数千万人規模の個人データへのアクセスが、推測可能な資格情報とレコード単位の認可欠如に依存していた構図は、一社の設定ミスにとどまらず、AI を業務に組み込む組織全体のアクセス認可設計の課題として残る。

Lemma による分析

McHire が露呈した落差 — AI システムの機微データへのアクセスで、主体の権限属性が独立検証されないまま到達が取得に直結する — に対し、Lemma はアクセスの根拠を、その瞬間に独立検証可能な暗号学的証明として固定する設計を提示している。

  • 権限属性の事前証明: 機微データへのアクセス前に、「要求主体がこのスコープ(このレコード群)の権限を正当に持つ」ことを独立検証可能な属性として証明する。推測可能な資格情報や参照 ID の差し替えでは通らない
  • レコード単位の認可束縛: 参照 ID(オブジェクト参照)を権限スコープに束縛し、ID の連番列挙が認可を伴わずに通らないようにする
  • 選択的開示: 「アクセスが権限範囲内であった」ことだけを最小限で証明し、応募者の個人データ本体は外部に出さない
  • non-human identity の証明: システムアカウントの権限も、固定資格情報ではなく検証可能な属性として扱う

行動時点で固定された証明は、後日「このアクセスは正当な権限に基づいていたか」を問われたときに、個人データを開示せずに独立検証できる証跡として機能する。検出・開示(研究者調査・修正)は被害の縮小に、事前証明(アクセス時の権限検証)は認可の独立検証に、それぞれ補完的に寄与する。設計と適用範囲は、Pillar 03 — エージェント権限証明 を参照のこと。

Sources

Brief 配布について

Lemma Critical Brief は Lemma が発行する脅威インテリジェンス・ブリーフです。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call → ホワイトペーパー → ✉️ ニュースレター →

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
認証・認可の全 46 件を見る
No. 068 · 2026-06-19

未認証のネットワークアクセスだけで、産業用ロボットの OS で任意コードが実行できた(Universal Robots PolyScope)

ロボット(実体エージェント)が、命令の送り手の権限を物理動作の前に検証しない構造(Universal Robots / CISA)

認証・認可 エージェント基盤属性証明バイパス
Brief →
No. 066 · 2026-06-19

一般ユーザー権限のまま、AI ゲートウェイの管理者権限とサーバーのコード実行に到達できた(LiteLLM)

権限チェックの各層が互いの検証を前提にし、行動の前に認可が独立検証されない構造(LiteLLM / Obsidian Security)

認証・認可 エージェント基盤属性証明バイパス
Brief →
No. 057 · 2026-06-15

認証のない AI バックエンドで、到達がそのまま全取得になった

データ基盤の到達と認可が分離されない構造(DeepSeek / ClickHouse)

認証・認可 属性証明バイパスデータ来歴
Brief →
No. 051 · 2026-06-12

AI サポートに頼むだけで、他人の Instagram アカウントが乗っ取られた

AI 復旧エージェントが要求者の所有権を検証せず操作を実行した構造(Meta High Touch Support)

認証・認可 エージェント基盤AI 判断の完全性
Brief →
No. 046 · 2026-06-12

設定ひとつで認証が外れ、未認証のまま顧客インスタンスが照会された

ServiceNow の REST エンドポイントが、要求者の認可を実行前に証明していなかった構造

認証・認可 エージェント基盤属性証明バイパス
Brief →
No. 033 · 2026-06-08

1 台のエッジ機器の侵害が、ドメイン全体の侵害に連鎖した

社内で暗黙に信頼された F5 BIG-IP が、保存された資格情報ごと横展開の足場になった

認証・認可 エージェント基盤属性証明バイパス
Brief →

Lemma Critical Monthly

実際に起きたリスク事案の構造分析(Critical Brief)を軸に、検出の先に必要な「証明」への視点を月 1 回お届け。

ニュースレターを購読
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"採用 AI の「誰が正当か」を検証しないまま、6,400 万件に手が届いた — アクセス主体の権限属性が独立検証されない構造(McHire / Paradox.ai)".
Lemma Critical Brief No.056. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/056-mchire-paradox-recruiting-auth/