ドライブスルー音声が誰でも聞ける状態? バーガーキングなど3万店で脆弱性が発覚:セキュリティニュースアラート
バーガーキングなどのドライブスルーシステムにおける脆弱性が研究者のブログによって発覚した。顧客の音声ログや従業員の情報に不正アクセスできる状態だったという。
セキュリティ研究者は2025年9月6日(現地時間)、大手外食チェーンを展開するレストラン・ブランズ・インターナショナル(RBI)が運営するドライブスルー支援システムに深刻な脆弱(ぜいじゃく)性を確認したとするブログ記事を公開した。対象となったのはバーガーキングやティムホートンズ、ポパイズといった世界で3万店以上の店舗に導入されているプラットフォームだ。記事では利用者の会話音声や従業員の情報に不正にアクセスできる可能性があったことが示されている。
顧客音声ログが不正アクセスの可能性
研究者は「AWS Cognito」を利用したログイン機能においてユーザー登録が無効化されていなかった点を突き、外部から容易にアカウントを作成できたと説明している。「GraphQL」によるスキーマ参照から、メール認証を不要とするサインアップの仕組みを発見し、パスワードが平文で通知されるという実装上の問題も明らかにした。
一度認証に成功するとグローバル規模の店舗データが取得可能となり、従業員の個人情報や内部設定情報にアクセスできたとしている。加えて認証を必要としないトークン生成機能も存在し、これを利用すれば任意の店舗に対し管理者権限を獲得できる状態だったという。
研究者はこのトークンを使って実際の店舗端末の画面に接続し、注文音声ログの再生やドライブスルー機器の音量調整など操作できる状況にあることを確認したと報告している。記事では顧客の会話が録音ファイルとして保存されており、AIによる感情分析や応対評価に利用されていたことにも触れている。これらには個人を特定し得る情報が含まれている場合もあり、プライバシー侵害の懸念が示されている。
店舗の設備発注サイトなどにもアクセス制御の欠如が見つかり、外部から容易にアクセスできたとされる。研究者は、報告した脆弱性についてRBIが迅速に修正対応を実施したと記しているが、企業側からの公式なコメントは得られなかったとしている。
しかし、このブログ記事はその後公開を停止されている。研究者は別の投稿によって、Cybleからデジタルミレニアム著作権法(DMCA)に基づく削除要請を受けたことを明らかにした。CybleはRBIの代理として権利侵害を主張し、記事が「バーガーキング」の商標を無断で使用し、違法行為を助長し虚偽の情報を広めていると申し立てた。
研究者は、自らの調査が倫理的かつ公益のためであったと主張しつつも、法的紛争を避けるため記事を削除する判断をしたと説明している。研究者による詳細な検証とその後の削除発表は、セキュリティ研究と企業対応、公開情報の扱いに関する課題を浮き彫りにしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows/macOSユーザーはむしろ無償の標準アンチウイルス機能で十分なワケ
英国立サイバーセキュリティセンター(NCSC)は公表したガイダンスの中で、AppleおよびMicrosoftのPC利用者に対し、無償で利用できる標準アンチウイルス機能の有効化を強く促した。その理由とは。
被害組織は700件超? Salesforceインスタンスを狙ったデータ窃取の原因と対策を整理
Salesforceインスタンスを標的とした大規模なデータ窃取が発生した。本件で影響を受けたユーザーが取るべき対策は。ソフトウェアベンダー側の動向は。Googleの発表から整理する。
根絶は不可能? 辻伸弘氏が指摘するインフォスティーラー対策の問題点
証券会社の不正アクセス事案で注目を集めたインフォスティーラー。最近激増しているこのマルウェアですが実は対策が困難です。辻伸弘氏の講演から対策の問題点とやるべきことをまとめました。
あのネコ型配膳ロボに深刻な脆弱性 誰でも遠隔操作可能な状態に
中国のロボット企業Pudu Roboticsの全製品に、第三者による遠隔操作が可能な重大な脆弱性が存在していた。製品の中でも猫型給仕ロボット「BellaBot」は、すかいらーくホールディングスで導入されている。