インドのマクドナルド「宅配アプリ」から220万人の個人情報が流出

江添 佳代子

April 11, 2017 08:00
by 江添 佳代子

2017年3月、ファストフード大手のマクドナルドがインドで提供しているアプリ「マックデリバリー(McDelivery)」から約220万人のユーザーの氏名、メールアドレス、電話番号、自宅の住所などの個人情報が漏洩した。

企業が顧客の個人情報を漏洩する事件は、もう何年も前から世界中で頻発しているが、「インドで利用されている宅配用アプリ」から顧客のデータが漏れた事件が、世界に広く伝えられたケースは珍しい。そのため今回の事件は、「インドにおける」個人情報の扱いや企業の対応の甘さについて考えさせられる話題となっている。

牛を食べないインドでマクドナルド?

「インドは国民のほとんどがヒンドゥー教徒とイスラム教徒に占められている国なのに、なぜマクドナルドが『宅配アプリ』を配布するほど活発に営業できるのだ?」と疑問に思ったのは筆者だけではないだろう。セキュリティとは関係ないが、今回のインシデントを紹介する前に、まずはインドにおけるマクドナルドの営業について簡単に説明する。

インドのマクドナルドには牛肉・豚肉の入ったメニューがない。バーガーのパテ(およびマフィンのソーセージなど)には鶏肉が使われている。以前には羊肉のメニューもあったらしいが、現在は販売していないようだ。さらに肉・魚・卵を一切使用しないヴィーガン用のメニューもあり(一例)、それらのベジメニューと一般メニューは別々のキッチンで調理されているという。このように、インドではマクドナルドも特別な配慮をもって商品を提供している。しかし「神聖な牛を大量に畜殺している超大手米国企業」のインド進出に対しては根強い抗議もあり、過去にはいくつかのトラブルも発生した。

そのMcDonalds Indiaが提供している公式アプリ「McDelivery」は、日本のマクドナルドが提供している宅配用アプリ「マックデリバリー」と同様のものだ。表示されるフードやドリンクのメニューを見ながら、届けてほしい商品を注文でき、また注文のたびに届け先の住所を入力する必要もない。しかしユーザーレビューを見ると、どのバージョンにもバグがあったり、あるいは情報が古かったりなどの不具合が見られるようで、あまり評判は芳しくない(インド南西エリアインド北東エリア日本、すべてiOS版)。

インド北東エリア版のMcDeliveryアプリ

報告に応じなかったMcDelivery担当者

この「インドのMcDelivery」における情報管理の欠陥を発見したのは、セキュリティ企業のFallibleだった。Fallibleは米デラウェア州のスタートアップ企業だが、インドにも多くの顧客を抱えている。そんな同社のブログ「HACKERNOON」が、「マクドナルドは220万人のユーザーデータを漏洩している」というタイトルの記事を掲載したのは2017年3月17日のことだった

セキュリティ企業のFallibleがMcDeliveryの問題点をブログで指摘

同ブログによれば、McDeliveryのサーバーのセキュリティ対策には基本的な部分に問題があった。何の保護もなく公開されていたAPIのエンドポイント(http://services.mcdelivery.co.in/ProcessUser.svc/GetUserProfile)から、curlコマンドを利用するだけで、顧客の詳細なデータを認証なしで手に入れることができたと同社は説明している。

誰もが知っている大手フードチェーンの顧客管理としては、セキュリティが杜撰すぎるように思われるが、もっと気になるのはMcDonalds Indiaの応対だ。サーバー設定の欠陥をMcDeliveryへ報告するため、最初にFallibleがメールを送ったのは2月4日だった。それから9日後の2月13日、McDeliveryのITマネージャーから「報告された問題を認識した」という返信がFallibleに届いたものの、肝心のデータ漏洩の問題は何も解決されなかった。

そこで翌月の3月7日、Fallibleは改めて状況を尋ねるメールを送った。しかし、そちらのメールには返信がなかった。それから10日後の3月17日、Fallibleは再びメールを送り直した。それでも返事は来なかった。そして翌日の3月18日、ついにFallibleはブログでMcDeliveryの問題を報告することにした。この世界に名だたる大企業のデータ漏洩は瞬く間に、インド国内のみならず欧米のメディアでも取り上げられた(例:The HinduBCCPCWorld)。

「金融情報は漏れていない」

問題のインシデントに関してMcDonalds Indiaが発表したコメントは、同社の公式ツイッター(英語版)に掲載された画像から読むことができる。そこには次のような案内が記されている。

 
・McDonalds Indiaのウェブサイト、およびアプリでは、顧客の機微な金融情報(たとえばクレジットカードや銀行口座の情報など)を一切保管していない
・我々のウェブサイトとアプリはいつも安全に利用できる状態であり、定期的にセキュリティのアップデートも行っている。ユーザーの皆様は、ぜひ各自のデバイスでアプリのアップデートをしてほしい

この「いつも安全に利用できる状態である」という主張に、すかさずFallibleは反論した。FallibleはMcDonalds Indiaのツイートに対して、「御社が適用した修復は不完全だったので、御社はまだユーザーデータを漏洩している。(我々が)最後に送ったメールをチェックしてほしい」というレスをつけた(※)。それに対するMcDonalds Indiaのレスは現在も行われていない。この期に及んで、まだMcDonalds India がFallibleの忠告を意に介していないような行動を取ったのは驚きである。

さらに不可解なのは、同社の公式コメントの中に「約220万人のユーザーのメールアドレスや電話番号、住所などの個人情報がサーバーから漏洩した」という問題への言及が一切ないことだ。そこには情報漏洩に関するお詫びも、被害者への注意喚起もなく、ただ「金融情報は漏れていないから安心しろ」と説明しているだけ。まるで事件など何も起きていないかのような発表だ。

これでは、「とにかく金融情報が漏れてさえいなければ、McDonalds Indiaは顧客の個人情報などどうなっても構わないと言うのか?」という印象を顧客に与えかねない。実際McDonalds Indiaのツイートには、その態度に腹を立てたユーザーからのレスもついている。なぜ同社は、我々から見て「不誠実」に見えるような対応をしたのか? これは一企業の問題ではなく、インドにおける個人情報の取り扱い全般の問題かもしれない。
 
※「HACKERNOON」の記述によれば、Fallibleがブログに記事を掲載したのち、ようやくMcDonalds Indiaから「我々は問題の修復を行う」「これから公式なコメントを発表する」という内容の返信が届いたという。しかし、そこで行われた修復は不完全だったため、Fallibleは再び連絡を送った。その連絡に対する返信はなかったようだ。

インドにおける「個人情報」の軽さ

Fallibleはブログの中で次のように述べている。「EUや米国、シンガポールなどとは異なり、インドには強いデータ保護、プライバシーに関する法律や罰則が欠けている。そのおかげで、企業はユーザーのデータ保護を無視してきた。この問題を改善するための、民間組織による後押しも同様に足りていない。我々はこれまで、いくつかのインドの組織から50件以上のデータ漏洩の事例を発見してきた」

つまりインドには、顧客の情報が軽率に扱われやすくなる背景がある。そして(失礼な表現かもしれないが)インドの「プライバシー」に対する考えは、先進国のそれとは少々異なっているのだろう。そのため企業には、最初から顧客の個人情報を強固に守ろうとする習慣がなく、「名前や住所が漏れたことの何が問題なのだ」と思っているのかもしれない。そのような状況を打破するためにも、今回の事件を報告する責任があったとFallibleは主張している。

たしかに「そういうお国柄だから……」などと悠長なことを言える状況ではない。なにしろInternet World Statsが発表したランキングの数値によれば、インドのインターネットユーザー数は2016年6月時点で4億6000万人以上とされている。同じ統計による「世界のインターネットユーザー数」の総計は37億人弱なので、インドのユーザーは世界の一割を軽々と超えることになる。

2016年の国別ランキングで、インドのインターネットユーザー数は世界第2位だが(1位はもちろん中国)、過去16年間の増加率は中国の3倍近く。しかも同国のインターネット浸透率は36.5%なので、まだまだ伸びしろがある(中国は52.3%)。そしてインドが中国よりも「はるかにインターネットの自由度が高い」ことは説明するまでもない。今後、活発にインターネットを利用するユーザーの数が5億人、6億人に伸びると考えられている国で、まだ個人情報の保護がおろそかになっているのは、なんとも不安な話だ。

しかし今回のインシデントは、世界中に知られている「マクドナルド」のブランドを掲げたMcDonalds Indiaのインシデントだったおかげで、そのデータ管理の怠慢さが国内外で報じられた。それはインドにとって大いに意味のあることだったのではないだろうか。

地元紙「The Hindu」の3月18日の報道によれば、今回のデータ漏洩の被害者となったハイデラバードの一人のユーザーが、「顧客の情報の保護を怠り、私の個人情報を危険に晒したMcDonalds IndiaとMcDonalds Corporationは、インドのデータ保護法の第43条に違反している」として、両社に損害賠償を要求する訴訟を起こしたという(注:「インドには強い罰則やデータ保護法が欠けている」とFallibleは語ったが、そのような法が何も存在していないわけではない)。

この訴訟が、どのような結果となるのかは分からない。厳しい裁判になりそうだというのは、Fallibleの説明からも想像できる。たとえユーザーが勝訴したとしても、大きな賠償額には期待できないかもしれない。しかし「個人データの漏洩事件の被害者となったインドの顧客が、金融情報が漏洩したか否かに関わらず、企業を相手取って訴訟を起こした」という事実だけでも、インド国内の企業やユーザーのセキュリティ意識に影響を与えるはずだ。この事件は、インドの顧客情報管理のセキュリティを強化させるきっかけの一つになるかもしれない。

最後に余談。筆者は、この事件がアシュレイ・マディソンのような展開になるのではないかと予想していた。つまり、米国の教師や神父たちが不倫専門サイトの利用を知られて退職へ追い込まれたように、「殺生厳禁の戒律を教えている指導者が、こっそりマクドナルドを利用していた」と報じられることで、インド国内における「顧客情報の重要さ」に注目が集まるのではないかと期待(?)していた。しかし現在のところ、幸か不幸か、そのようなニュースは(少なくとも英語では)見つけることができなかった。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…