
6,400万人が求人に応募した。そのすべての秘密を、パスワード「123456」が明け渡した。
見込み客との通話中だった。相手は中堅の物流会社だ。ちょうどそのとき、McHireの一件が報じられた。共同創業者が話の途中でリンクを送ってきた。私はそれをちらっと見て、最初の2行を読み、完全に黙り込んでしまった。クライアントは「まだそこにいますか」と尋ねた。
「すみません」と私は言った。「今、McDonald'sのAI採用プラットフォーム――何百万もの応募者を選考しているあれ――が『123456』というパスワードで守られていた、という記事を読んでしまって。しかも誰かがまんまと侵入したんです」
長い沈黙があった。それからクライアントはこう言った。「それ、うちの構成とほぼ同じですよ」
彼は半分冗談で言っていた。だが、あくまで半分だけだ。
2025年6月のMcHire侵害は、およそ6,400万人の求職者の個人データを露出させた――氏名、メールアドレス、電話番号、IPアドレス、「Olivia」というAIリクルーターとのチャット履歴、そして最も不穏なことに、彼らの性格診断の結果までもが漏れた。攻撃経路は、洗練された国家ぐるみの攻撃ではなかった。エリートハッカーのチームを要するゼロデイ脆弱性でもなかった。それは2019年以来変更されないまま放置されていたデフォルトの管理者パスワードであり、多要素認証もないアカウント上にあり、ブラウザのアドレスバーで誰もが応募者IDを次々にたどれてしまうAPIを守っていた(つもりだった)。
Veriprajnaで我々が何をしているかを人に話すとき――セキュリティとガバナンスをアーキテクチャに組み込んだAIシステムを構築している、と説明するとき――私は時々、「なるほど、でもそれはやり過ぎでは?」という意味の丁寧なうなずきを返される。McHire侵害がその答えだ。やり過ぎではない。最低限のことだ。そして大半の企業は、その最低限すらできていない。
McHireプラットフォームの内部で実際に何が起きたのか?

この侵害は、脅威インテリジェンスチームや政府機関によって発見されたのではない。発端は2人のセキュリティ研究者――Ian CarrollとSam Curry――で、彼らはごくありふれたことに気づいた。ユーザーが「Olivia」チャットボットに不具合が多いと不満を漏らしていたのだ。フロントエンドの体験はぎこちなく、不安定だった。
この細部が重要だ。私の経験では、壊れたフロントエンドはほぼ必ず何かの兆候である。ユーザーが目にする部分にすら企業が投資していないなら、目に見えない部分で何が起きているか想像してみてほしい。
CarrollとCurryはあちこち探り始め、Paradox.aiの従業員向けと思われる管理ポータルを見つけた――Paradox.aiはMcDonald'sの代わりにMcHireを構築・運用していたベンダーだ。彼らはテスト用アカウントを試した。ユーザー名は?「123456」。パスワードは?「123456」。それで通ってしまった。
それを読んだとき、本番システムを構築した経験のある者なら誰もが分かる、ある特有の怒りを覚えたのを憶えている。驚きではない――これが完全に防げたものだと知っている者の激しい憤りだ。これはKubernetesクラスタのわずかな設定ミスなどではない。金庫の扉を開け放したまま「鍵はマットの下」と書いた付箋を貼っておくのと、デジタル上の等価物だった。
だが、パスワードは第一段階に過ぎなかった。中に入ると、研究者たちは安全でない直接オブジェクト参照の脆弱性――セキュリティ用語でいうIDOR――を発見した。これは、ログイン中のユーザーが特定の応募者データを見る権限を持っているかどうかをAPIが検証していない、という意味だ。URL内の応募者ID番号を変えるだけで――文字どおり数字を1つずつ増やすだけで――システム内のどの応募者の完全な記録でも引き出せてしまった。
その数、6,400万人分だ。
なぜ性格診断データは、漏れて最悪の種類のデータなのか
この侵害に関する大半の報道が誤っているのはここだ。見出しはパスワードに注目し――「123456」だって、はは、なんて間抜けな――そのまま先へ進んでしまった。だが真の惨事は認証情報ではない。その背後にあったものだ。
クレジットカード番号は無効にできる。パスワードは変更できる。だが性格評価の結果は?行動スクリーニングのスコアは?AIがあなたの気質、感情的反応、対立への対処スタイルを探った会話の記録は?
そのデータはあなた自身だ。それは失効しない。
性格プロファイルが漏れると、パスワードのようにローテーションで替えることはできない。あなたの心理測定上の指紋は、この先ずっとつきまとう。
侵害の後、私はある夜遅くまで、データ露出が心理に及ぼす影響についての研究を読みふけった。その数字は驚くべきものだ。侵害の被害者の70%近くが、他人を信頼できない状態が持続すると報告している。3分の2が深い無力感を経験する。研究は、個人データの露出を不安、抑うつ、PTSDと結びつけてきた。しかもその深刻さは、データの親密さに応じて増していく――メールアドレスの漏洩はちくりと痛む程度だが、あなたを「情緒不安定」だとか「誠実性が低い」と評した性格評価の漏洩は、公衆の面前で解剖されるように感じられる。
求職者にとって――その多くは若く、多くはファストフードチェーンでの初めての仕事に応募している――これはとりわけ残酷だ。彼らはAIに言われたから性格診断を受けた。どんなデータが集められ、どう保存され、誰がアクセスできるのかを理解する実質的な手立ては何もなかった。そして今、そのデータは――将来の雇用主、保険会社、あるいは悪意ある者が、推定された特性を彼らに不利に使いかねない世界で――外に出てしまった。おそらく永遠に。
私のチームはこれについて議論になった。エンジニアの1人がこう言った。「いいか、データは露出したが、大規模に実際に持ち出されたわけではおそらくない――研究者たちは責任を持って報告したんだから」。そして技術的には、それは本当だ。Paradoxは通知から数時間以内に脆弱性を修正した。だが私は強く反論した。要点は、この特定のデータセットがダークウェブのフォーラムに流れ着いたかどうかではない。要点は、アーキテクチャがそれを許したことだ。そのシステムは、デフォルトパスワードとブラウザさえあれば6,400万人分の心理測定プロファイルにアクセスできる、という設計になっていた。それはニアミスではない。設計思想の失敗だ。
ベトナムの開発者と、すべてを解錠したパスワード
この話には、十分に注目されなかった伏線がある。調査によれば、ベトナムを拠点とするParadox.aiの開発者が、Nexus Stealerというマルウェア亜種――サイバー犯罪フォーラムで販売されている認証情報窃取ツール――に侵害されていた。その感染により、開発者の端末から数百件のパスワードが持ち出された。その多くは脆弱で使い回されており、複数のサービスで同じ7桁を基にしたパスワードが使われていた。
たった1人の侵害された開発者が、以下のクライアントを含むParadox.aiのアカウントに紐づく認証情報を露出させた。Pepsi、Lockheed Martin、Lowe's、Aramarkだ。
少しの間、この事実をじっくり考えてほしい。1人の人物。1台の感染したノートPC。1つの使い回されたパスワード。それだけで、突如としてアメリカ有数の大企業の採用データが危険にさらされた。
これが私の言う「ヒューマンノード」問題であり、どんな風変わりなAIの攻撃経路よりもはるかに私を夜眠れなくさせるものだ。世界で最も洗練されたモデルを構築し、汚れのないデータでファインチューニングし、ガードレールで包み込むことはできる――だが、たった1人の開発者のパスワード衛生が崩れれば、その砂上の楼閣はすべて崩れ去る。2025年のデータ侵害の平均コストは444万ドルに達した。それでも組織はアイデンティティ管理を後回しにし続け、誰も見ない年1回の研修動画でIT部門が片づけるもの、くらいにしか扱っていない。
あなたのAIシステムのセキュリティは、その連鎖の中で最も弱いヒューマンな認証情報以上に強くなることは決してない。
Veriprajnaでは、人間によるアクセスは継続的な検証を要する高リスクの経路である、という前提を軸にアーキテクチャを構築してきた――業界でいうところのゼロトラストだ。チームを信頼していないからではない。認証のどんな単一のポイントであれ、それに防衛線を託したときに何が起きるかを、私は見てきたからだ。
「Deep AI」とは実際に何を意味するのか――そしてなぜ気にすべきなのか?
今のエンタープライズAIにおいて最も重要な考えだと私が思っている区別を、ここで紹介しなければならない。そしてそれは、McHire侵害がまさに完璧に例証しているものでもある。すなわち、AIラッパーと、我々がDeep AIと呼ぶものとの違いだ。
AIラッパーとは、「AIをやっている」と言うときに大半の企業が実際に構築しているものだ。それは薄いアプリケーション層――多くはチャットボットやフォーム――で、ユーザーの入力をAPI経由でGPT-4やClaudeのような基盤モデルに送り、応答を受け取って表示する。AIはあなたが借りているサービスだ。あなたのアプリケーションは店先だ。セキュリティ、データ管理、ガバナンス――それらはすべて、どんなCRUDアプリにも使うのと同じWeb開発の慣行を用いて、後から取り付けられる。
Paradox.aiの「Olivia」は、アーキテクチャ的にはラッパーだった。もちろん、洗練されたラッパーだ。だがそのセキュリティ態勢は従来型のWebインフラに固定されており――そのインフラは、想像しうる最も基本的なレベルで崩壊した。
Deep AIは根本的に異なる。それはAIモデルをアーキテクチャ上のプリミティブ――データベースやメッセージキューのような――として扱い、独自のセキュリティ境界、独自のアクセス制御、独自の監査証跡を持たせる。モデルは、あなたが呼び出すブラックボックスではない。あなたがガバナンスするコンポーネントだ。プロンプトルーター、メモリ層、フィードバック評価器を構築する。あらゆる入力を敵対的とみなし、あらゆる出力を信頼できないものとみなす、多層的な防御を実装する。
私はこのアーキテクチャ哲学について、我々の研究のインタラクティブ版で詳しく書いた。だが核心となる洞察は単純だ。もしあなたのAIセキュリティ戦略が「認証とWAFを足せばいい」というものなら、あなたが作っているのはラッパーであり、たった1つのデフォルトパスワードで大惨事に至る寸前の状態にいる。
誰も作りたがらない5層の防御

McHireの報道の後、私はエンジニアリングチームを一室に集めてこう言った。「我々のスタックがどうやってこれを防いだはずなのか、正確に説明してくれ」。彼らを疑っていたからではない――すべての前提に負荷をかけて検証したかったからだ。
我々はそれに3時間を費やした。ある時点で、我々のリードセキュリティエンジニアがホワイトボードに、中世の城の断面図のような図を描いた――同心円状の防御リングで、それぞれが独立して機能する。1つが陥落しても、次が持ちこたえる。それが実際にはどう見えるかは、以下のとおりだ。
最も外側のリングは入力サニタイズだ――あらゆるプロンプト、あらゆるAPI呼び出しから、インジェクションコマンドと誤解されうるものをすべて取り除く。第2のリングはヒューリスティックによる脅威検知で、既知の敵対的パターンを能動的にスキャンする。第3はメタプロンプトのラッピングで、ユーザーのリクエストを、モデルが上書きできない命令の安全なエンベロープに包み込む。
第4のリングで話が面白くなる。すなわちカナリアモデルとアジュディケーターモデルだ。まず小さめのモデルがリクエストを分析する。それが何か不審なものを検知した場合、第2のモデルが最終判断を下す。AIのためのバディシステムだ――どの単一のモデルも独断で行動することはできない。
第5の、そして最も内側のリングは出力の検証だ。AIが生成するあらゆる応答は、そうでないと証明されるまで信頼できないものとして扱われる。PII墨消し層が機密データをスキャンする。毒性分類器が有害なコンテンツをチェックする。検査を経ずに通り抜けるものは何もない。
あのホワイトボードのセッションで私が苛立ったのは、こういうことだ。これらのどれ一つとして風変わりなものではない。どれも研究上のブレークスルーを必要としない。新しい領域に適用された工学的規律に過ぎない。大半の企業がそれをしない理由は、コストがかかり、時間がかかり、デモ映えしないからだ。ラッパーのチャットボットは週末に作れて、月曜には取締役会に見せられる。適切にガバナンスされたAIシステムは何か月もかかる。どちらに資金がつくか、想像はつくだろう。
AI業界にはデモの問題がある。ピッチで投資家を感心させるものは、本番でユーザーを守るものと、アーキテクチャ的に正反対なのだ。
なぜ法律は性格データを、まるで放射性物質であるかのように扱うのか?
話をするCTOの誰もが私に投げかける質問がある。「ここでの法的リスクは、実際どれほどひどいのか?」
答え――潜在的には存亡に関わる。
CCPAの下では、「合理的なセキュリティ手続き」の維持を怠ったことにより暗号化されていない個人情報が盗まれた場合、企業は訴えられうる。法定損害賠償は1件のインシデントにつき消費者1人あたり750ドルだ。それに6,400万件を掛ければ、理論上の賠償責任は480億ドルにのぼる。どの裁判所もその全額を認めることはないだろうが、そのごく一部でも企業を終わらせるに足る。
GDPRの下では、罰則の上限は2,000万ユーロ、または全世界の年間売上高の4%――いずれか高いほうだ。そしてEU AI法は、採用AIを「高リスク」に分類し、義務的なリスク評価および人間による監督の要件への不遵守に対して、最大で3,500万ユーロ、または全世界売上高の7%の制裁金を導入している。
だが、大半の法的分析が見落としているのはこれだ。評判へのダメージは制裁金より深刻である。私は侵害の数週間後、あるFortune 500企業のCHROと話した。彼女によれば、チームはAI採用ツールを評価しており、3社のベンダーを最終候補に絞っていた。McHireの一件の後、CEOはその取り組み全体を打ち切った。「もう1年、手作業でやる」と彼は言った。「私は次の見出しになるつもりはない」。
それが本当のコストだ。Paradox.aiにとってだけでなく、エンタープライズの購入者との信頼を築こうとするすべての真っ当なAI企業にとっての。たった1件の破滅的な侵害が、全員のために井戸に毒を入れてしまう。
人に関する意思決定を下すAIを、実際どうやってガバナンスするのか?
ここで、居心地の悪いことについて正直にならねばならない。ガバナンスのフレームワークは退屈に聞こえる。ISO 42001、NIST AI RMF、LLM向けOWASP Top 10――これらはディナーパーティーで創業者を興奮させる類のものではない。だがこれらこそ、規制当局の精査を生き延びる企業と、そうでない企業とを分けるものだ。
ISO 42001は、AIマネジメントシステムに関する世界初の国際規格だ。組織に対し、AI固有のリスクを特定し、透明性と安全性に関する明確な目標を定め、各AIシステムについて影響評価を実施し、内部監査を通じて継続的なモニタリングを維持することを求める。それはチェックボックスを埋める作業ではない――財務統制について考えるのと同じように、AIガバナンスについて考えることを強いるマネジメントシステムだ。
NIST AIリスクマネジメントフレームワークは、GOVERN、MAP、MEASURE、MANAGEという4つの機能を軸に構成された、方針上の拠り所を提供する。Paradoxの侵害では、GOVERN機能が最も顕著に失敗した――2019年以来そこに放置されていた古い管理者アカウントの廃止について、組織としての説明責任が存在しなかったのだ。
そしてOWASPのフレームワーク――とりわけエージェント型AIに関する2025年の更新版――は、最も重大な脆弱性のランク付けされた分類体系を開発者に提供する。エージェントのゴールハイジャック、すなわち悪意あるコンテンツがエージェントの中核的な振る舞いを書き換えるもの。ツールの悪用、すなわちエージェントが騙されて正当な機能を有害な目的に使ってしまうもの。メモリポイズニング、すなわち永続的なエージェントの長期記憶に不正なデータが注入されるもの。
これらのフレームワークがどう交差するのかの完全な技術的分解――実装の具体事項や90日間のCXO向けロードマップを含む――について、私は詳細な補足論文を公開している。だがエグゼクティブサマリーはこうだ。2026年までに、AIガバナンスは任意ではなくなる。法務チームを持つあらゆるエンタープライズと取引をするための前提条件になる。
「セキュリティは後から足せばいいのでは?」
人々はしょっちゅう私にこれを尋ねる。答えはいつも同じで、いつも居心地が悪い。いや、足せない。
事後に取り付けられたセキュリティは、セキュリティの演劇だ。それは、すでに蝶番から外された扉に付けられた錠前だ。McHire侵害がこれを証明している――Paradox.aiには認証があった。管理者ポータルがあった。おそらく何らかのセキュリティレビューのプロセスもあった。だがセキュリティが初日からアーキテクチャに埋め込まれていなかったために、システム全体は、幼児でも当てられるパスワードと同じ強さしかなかった。
私が耳にするもう一つの反論。「でも我々は大手のクラウドプロバイダーを使っている。彼らのセキュリティで十分では?」。ベトナムのParadoxの開発者を侵害したのは、ありふれたマルウェアであって――クラウドインフラの脆弱性ではない。クラウドプロバイダーが完璧なセキュリティを持っていても、開発者がサービス間でパスワードを使い回したせいで、あなたのシステムは依然として侵害されうる。境界線は、あなたが思っている場所にはない。
そして、私を本当に怒らせるものがある。「セキュリティはAIベンダーが対処してくれる」。これはまさにMcDonald'sが考えていたことだ。彼らはAI採用をParadox.aiに外注し、そうすることで、管理者ポータルが「123456」で守られていたベンダーに自らのセキュリティ態勢を外注してしまった。サプライチェーンこそが、今やセキュリティの境界線だ。自社に適用するのと同じ厳格さでベンダーのAIインフラをガバナンスしないなら、あなたはリスクを委任しているのではない――無視しているのだ。
頭から離れない考え
McHireの一件が最初に報じられてから数週間経った今も、私が繰り返し立ち返ってしまうのは、これだ。
6,400万人――その多くは10代で、多くは初めての仕事に応募していた――が画面の前に座り、AIチャットボットの質問に答えた。彼らは自分自身に関する情報を共有した。システムがそうしろと言ったからだ。彼らには何のてこも、交渉力も、「実のところ、ハンバーガーをひっくり返すために性格診断は受けたくないんですが」と言う力もなかった。その力の非対称性は、完全なものだった。
そして彼らのデータ――氏名、行動プロファイル、AIによる彼らの性格の評価――を保持していたシステムは、私の娘が自分のRobloxアカウントに使っているのと同じパスワードで守られていた。
我々は人間の性格を大規模に評価できるAIシステムを構築した。ただ、その人間を守ることを忘れただけだ。
これは技術の問題ではない。価値観の問題だ。業界がAIを、ガバナンスすべきシステムではなく、出荷すべき製品として扱うときに起きることだ。「素早く動いて物事を壊せ」が「我々は人々の生計に関わる自動化された意思決定をしている」と出会うときに起きることだ。
ラッパーの時代は終わった。次の規制の波、次の侵害、次の公の清算を生き延びる企業――それは、見出しの後にセキュリティを取り付けた企業ではなく、セキュリティを土台に組み込んだ企業だ。Veriprajnaでは、それが我々が構築しようと思える唯一の種類のAIだ。より簡単だからではない。その代わりの道が、擁護しようのないものだからだ。
パスワード「123456」は遺物であるべきだ。それが意味を持ちえたアーキテクチャは、絶滅しているべきだ。そしてデータを露出させられた6,400万人は、業界の現在の「十分に良い」の定義よりも、良い扱いを受けるに値する。


