DoorDash はテイクアウトフードの配達で知られていますが、先月この会社は誤って、個人データという「おいしい一皿」も提供してしまいました。2025年10月25日に、従業員がソーシャルエンジニアリング攻撃に引っかかり、攻撃者にアカウントへのアクセスを許してしまったことによる侵害を公表したのです。
このような侵害は残念ながらよくあることですが、今回の侵害と、もうひとつのセキュリティ問題への DoorDash の対応の仕方が、一部で懸念を呼んでいます。
ギグエコノミーの配達ドライバーと、玄関先まで食べ物を届けてほしい人々をつなぐ DoorDash によると、侵害の際に盗まれた情報はユーザーによって異なります。同社は、名前、電話番号、メールアドレス、そして住所が盗まれたと述べています。
DoorDash は、法執行機関への通報に加えて、従業員向けのトレーニングと意識向上を強化し、調査を支援するために第三者企業を雇い、同様の侵害が再発するのを防ぐためにセキュリティシステムに未公表の改善を導入したと述べました。同社はこううたいました。
「DoorDash では、継続的な改善と、毎日 1% ずつ良くなることを信条としています。」
しかし、専門家は、侵害の開示についてはもう少し「良くなる」必要があると警告します。同社は、10月25日に事案を把握してから、11月13日に顧客へ通知するまで、ほぼ 3 週間を空けており、これが一部の顧客の怒りを買いました。
同様に一部の人々を苛立たせたのが、同社が「機微な情報にはアクセスされていない」と主張し続けた点です。同社は機微情報を、社会保障番号やその他の政府発行の身分証番号、運転免許証情報、銀行情報や支払カード情報と定義しています。これらのデータは盗まれなかったものの、名前、住所、電話番号、メールアドレスも十分に機微な情報です。
X 上のあるカナダ人ユーザーは、怒りをあらわにしてカナダの侵害法違反だと主張し、さらなる行動を予告しました。
「私は(10月25日に)漏えいとその範囲について即座に通知されるべきでしたし、自分のアカウントが影響を受けたかどうかを調査する旨を知らされるべきでした——そうすれば、自分のプライバシーとセキュリティを守るために必要な予防措置を取ることができたからです。[…] このプロセスはカナダのデータ侵害法に違反しています。私は州の少額訴訟裁判所で DoorDash に対して訴訟を起こし、カナダプライバシーコミッショナー事務所に苦情を申し立てるつもりです。」
侵害通知はどれくらい早く行われるべきか?
侵害通知に関して、「遅すぎる」のはどれくらいの時間でしょうか? 倫理的な観点から言えば、企業は個人が自分自身を守れるように、できるだけ早く顧客に知らせるべきです——しかし同時に、何が起きたのかを理解する時間も必要です。こうした攻撃の中には、悪意ある攻撃者が何カ月もネットワーク内部に潜み、システム内に足場を築いているような複雑なものもあります。
一部の法域では、プライバシー法が一定期間内の通知を義務づけていますが、他の法域ではあいまいです。カナダの個人情報保護および電子文書法(PIPEDA)は、実行可能になり次第の通知を求めているだけです。米国では、開示法は現在州ごとに定められています。たとえばカリフォルニア州は最近、上院法案 446 を可決し、2026年1月1日以降、消費者への侵害報告を 30 日以内に行うことを義務づけました。それでもなお、今回の DoorDash の最新の侵害報告は、この要件を満たしていることになります。
もうひとつの開示をめぐる論争
現在 DoorDash を取り巻いている開示をめぐる論争は、これだけではありません。セキュリティ研究者 doublezero7 は、企業向けの食事配達を扱う DoorDash for Business において、メールスプーフィングの脆弱性を発見しました。
この脆弱性により、誰でも無料アカウントを作成し、架空の従業員を追加し、DoorDash のサーバーからブランド付きメールを送信できました。研究者によると、これらのメールは各種メールクライアントのセキュリティ検査を通過し、スパム扱いされることなく受信トレイに届いてしまうとのことです。
研究者は 2024年7月にバグ報奨金プログラムの HackerOne に報告しましたが、「情報提供」としてクローズされました。DoorDash がこれを修正したのは、研究者が苦情を述べた後の今月になってからでした。
しかし、すべてが見た目どおりというわけでもないようです。DoorDash は、研究者が開示スケジュールをめぐって金銭的な要求を行い、それが恐喝めいて感じられたとBleeping Computer に語っています。
どんな対策が取れるか?
話をデータ侵害の問題に戻しましょう。このような事態から自分を守るには、何ができるでしょうか? 先ほどのカナダ人 X ユーザーは、アカウントに偽名と転送用メールアドレスを使っていたと説明していますが、それでも実際の電話番号と住所が漏えいするのを防ぐことはできませんでした。
実際のクレジットカード番号の使用を避けることもできません——もっとも、多くの EC サイトではクレジットカード情報の保存は任意になっています。
おそらく最も安全に過ごす方法は、クレジットモニタリングサービスを利用し、このようなニュースサイトをチェックして侵害情報を把握することでしょう……企業がそれを開示することを決めたときに限りますが。
私たちはデータプライバシーについて報じるだけでなく、あなたの個人情報の削除も支援します
サイバーセキュリティリスクは、見出しの外にまで広がるべきではありません。Malwarebytes Personal Data Remover を使えば、どのサイトがあなたの個人情報をさらしているかをスキャンで確認し、その機微なデータをインターネットから削除することができます。
