バーガーキングへのハッキング:認証回避でドライブスルー音声の監視に成功

 (bobdahacker.com)
1 ポイント 投稿者 GN⁺ 2025-09-07 | 1件のコメント | WhatsAppで共有
  • あるセキュリティ研究チームが、Burger Kingのドライブスルーシステムで認証回避の脆弱性を発見した
  • この脆弱性により、ドライブスルーの音声ストリームへの不正アクセスの可能性が確認された
  • 内部統制の不備によって、リアルタイム監視が可能な環境が生じていた
  • 攻撃者は別途複雑な手順を踏むことなく、直接音声データを収集できる可能性があった
  • この件は、外食業のITインフラセキュリティの重要性をあらためて浮き彫りにするきっかけとなった

事件の概要

  • セキュリティ研究チームが、Burger Kingのドライブスルー音声システムの認証回避の脆弱性を悪用した
  • この脆弱性により、追加の認証なしで外部の人物がシステム内の音声ストリームに接続できた

攻撃手法

  • 原因は、HTTP認証の未設定、またはWebインターフェースの脆弱な認証ポリシーにあった
  • 攻撃者は、システムのIPアドレスさえ分かれば直接的な音声データにアクセスできる可能性があることを確認した

影響とリスク

  • このような脆弱性により、リアルタイムの顧客会話の監視など、個人情報流出のリスクが浮上した
  • 外部の攻撃者が店舗の業務フローや顧客情報を容易に盗み取るおそれがある

示唆

  • 外食業界および小売業界におけるIoT機器とネットワーク管理の実態に問題があることが明らかになった
  • 強固な認証体制と定期的なセキュリティ点検の必要性が高まっている

関連記事

1件のコメント

 
GN⁺ 2025-09-07
Hacker News のコメント

  • ブログは現在アクセスできず、代わりにウェブアーカイブのリンクが共有されている

  • 顛末を見ると、このセキュリティ研究者は責任ある開示の手順に従い、脆弱性が修正された後に記事を公開したにもかかわらず、会社からは何の返答も得られなかったようだ。つまり、事前の取り決めがあって初めて報奨が出るという前提はあるものの、報奨が期待されていたにもかかわらず結局音沙汰なしだった状況だ。自分も有名スタートアップでセンシティブな脆弱性を見つけ、正式な手順に従って複数のメールで詳細に報告したが、HackerOne の招待を受けただけで、既存の報奨事例は $2,000 程度なのに対し、自分の発見は $10,000〜$50,000 相当だと思っていた。だが、求められた正式レポートを書く時間もなかったし、$2,000 のためにわざわざやる気にもならなかった。こういう場合、自分も公開ブログ記事を書いてよいのか気になる

    • 実際には企業から連絡はあったものの、その記事には DMCA(デジタル著作権侵害申立て) が出された。メールのスクリーンショットを見ても、なぜそれが DMCA 違反になるのかは不明で、典型的な DMCA 悪用の事例に見える。この AI ベースの DMCA 申立てを作成した会社は Y-Combinator の出資も受けている。参照
    • 正確に言えば、"responsible disclosure" ではなく "coordinated disclosure" と表現すべきで、「責任ある」という言い方には特定の行動をより道徳的に見せる傾向がある
    • 強力な規制と執行力がない限り、こうした状況は終わらない。今はバグバウンティを払うか、それとも後で訴訟や PR 問題としてより大きなリスクを負うかの選択になっている。企業の立場では、今すぐ確実にお金を払うことと、将来の不確実なリスクのどちらか低コストな方を選ぶことになる。もし将来、セキュリティ事故に対して巨額のペナルティ、たとえば 10 万ドルのバウンティの代わりに 1,000 万ドルの罰金のような現実的脅威が生じ、CEO であっても報告を無視して金銭的利益を得ていたことが発覚すれば自宅を失いかねないと分かっていれば、むしろバウンティを支払うようになるだろう。リスク負担の重みを企業側へ移す必要がある
    • こういうことを公にすると、コメントや報道見出しがより直接的だったり嘲笑を含んだりして拡散され、ちょうどニュースが少ない時期なら全国的にバイラルになる可能性もある。「報奨をもらえなかった」という話は誰にでも共感しやすく、PR 的には悪手だ
    • 企業に適切なバウンティ支払いへの危機感を与えるのが目的なら、公にすることも倫理的にあり得ると思う

  • 投稿が消えたのは Cloudflare に DMCA クレームが入ったためだと聞いた。DMCA にはいくつか段階があると聞くが、ホスティング会社が処理するのは分かるとして、もし Cloudflare なしで自前ホスティングしていたらどうなるのか気になる。自分の ISP やドメイン側に DMCA が行くのかもさらに気になる

    • なぜ DMCA が原因だと確信しているのか気になったが、関連投稿 を見て理解した
    • 普通は ISP に DMCA が送られる。ISP によってはそれを利用者に転送することもあるし、しないこともある。昔は(torrent で映画を落としていた時代)映画会社が無差別に DMCA を送りつけていたので、こういうことはもっと一般的だった
    • 2008〜2009 年に SoftLayer(テキサス州ダラス)でベアメタルサーバーを何台も運用していて、顧客の一つに南米音楽フォーラムがあった。誰かが MP3 を上げると、データセンターは DMCA 要請を受け次第、そのサーバーへのトラフィックのルーティングを遮断していた。2025 年にはどんなツールが出てくるのか、今後は想像もつかない

  • ドライブスルーで録音告知なしに会話が録音されるのは、いわゆる「双方同意州」の弁護士が飛びつきそうな案件ではないかと思う。もちろん、公の場で大声を出している以上プライバシー期待はないと反論できるかもしれないが、それでも法的リスクだと思う

    • 公の場所での録音は通常、同意なしでも法的責任はない。もし一般人が立ち入れるドライブスルーなら、特別な許可や告知なしで録音できる。ただし、一部の州では公の場での録音も禁止 されていることを知った。こうした法律は、まだ米国連邦最高裁で維持または無効と判断されたことはない
    • 公の場所でも双方同意が必須なのか気になる

  • ドライブスルーでの話し方まで規定するシステムがあることが一番驚きだった。ポジティブなトーンや "You rule" のような励まし文句を強要するが、働く側としてはずっとそんな調子ではいられないだろう。むしろ注文した品が一部でもきちんと入っていれば客は満足するのが現実だ。実際には音響システムの品質も低く、"You rule" と言ったのかどうかも聞き取りにくい。時給 $6 でバーガーを焼く人に、こんなソフトウェアでマイクロマネジメントする理由が理解できない

    • 皮肉なことに、仕事の報酬が低いほど管理者はより細かく、より厳格になる傾向がある。たとえば開発者として年収 10 万ドル以上で在宅勤務しているなら、病気で 1 週間休んでもまったく問題にならないが、コールセンターの時給アルバイトなら 48 時間前に伝えていないだけで即懲戒だ。しかも懲戒状態だと病欠手当も出ない。診断書もきちんと用意しなければ解雇される
      1. そもそもバーガーを焼く仕事だからといって何も悪くない。2) 本質的には、これは低賃金労働者が、さらに低賃金の労働者へこうした業務を押し付ける構造だ。ある程度の思いやりが必要だ

  • 40 年あまり前、L.A. で誰かが Burger King のドライブアップキオスクが店舗と RF 無線リンクでつながっていることを発見した。周波数と変調方式を突き止め、携帯型トランシーバーで同じ通信ができた。近くの駐車場にカムコーダーを設置し、ドライブスルーの客をいたずらでからかう映像を撮って、"Attack on a Burger King" というタイトルのビデオが作られた。この人たちは放送エンジニアで、当時スタジオ内でもその映像を回して見ていた。最後は店員が出てきて客の方へ走っていき、ハッカーたちが客に逃げろとふざけて声をかける場面で終わる。このビデオがストリーミングにまで出たかどうかは分からない

    • 昔のファストフードのドライブスルー用ヘッドセットはたいてい VHF ビジネスバンドを使っていた。"Phone Losers of America" というグループがこうしたいたずらで有名だった。参考 YouTube 動画 "I'm in the freezer at QuikTrip!"

  • 「パスワードを平文でメール送信してきた。それも 2025 年に。むしろセキュリティの悪さへの執念が印象的だ」という、皮肉たっぷりの一文が面白さを増していた

  • あえて言えば、ログイン直後にパスワードを変更させる仕組みなら、平文の一時パスワードをメールで送ること自体は必ずしも問題ではないと思う

  • やはりブログは消えており、archive.is リンク でバックアップ版を確認した

  • うわ、本当にひどい事例だ。かなり深刻ではあるが、こうしたミスは大企業でもいまだによく起きている。こういう失敗を繰り返している巨大企業は、間違いなくあと数十社はあるはずだ