Grubhub・Uberなどギグワークプラットフォームがサイバー攻撃の標的に – データ侵害と詐欺リスクが急増

2025年4月26日7:05

サイバーセキュリティニュース

Grubhub・Uberなどギグワークプラットフォームがサイバー攻撃の標的に - データ侵害と詐欺リスクが急増 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-26 07:05 by admin

ギグワークプラットフォームがサイバー犯罪者による攻撃の標的となっている。2025年4月24日付のDark Readingの記事によると、Grubhubを含む主要なギグエコノミー企業が近年データ侵害を経験している。

Grubhubは2025年2月4日、「異常な活動」を検出したことをきっかけに、サードパーティのサポートサービスプロバイダーのアカウントが侵害され、顧客の名前、メールアドレス、電話番号、カード情報（下4桁）、SHA1ハッシュで暗号化されたパスワードが盗まれたことを公式に発表した。その後、2025年4月9日にはサイバー犯罪者がデータリークフォーラムに投稿し、約1,700万件のGrubhubパスワードを含む7,000万行のデータを入手したと主張した。

TransUnionが2024年2月に1,028人の成人を対象に実施した調査によると、ギグプラットフォームを利用する消費者の34%が詐欺や詐欺の被害に遭っており、前年の23%から増加している。特にミレニアル世代が被害に遭いやすく、複数回被害に遭った人の40%がこの世代だった。また、回答者の75%が詐欺の被害に遭った場合、プロバイダーを切り替えるかアプリの使用を停止すると回答した。

ギグエコノミー企業が標的となる主な理由は、高い離職率を持つ独立請負業者を多数抱え、彼らが複数の個人デバイスからプラットフォームにアクセスしていること、そして正社員と比較してサイバーセキュリティトレーニングを受ける機会が少ないことである。TransUnionのグローバルインシデント対応ディレクターであるEder Ribeiroによると、請負業者の離職率は他の業界よりもはるかに高い傾向がある。

また、ギグエコノミー企業の成長に伴い、請負業者への支払いも増加している。例えば、Uberは2024年第4四半期に請負業者とクーリエに200億ドル（約3兆円）を支払い、前年同期比16%増となった。Grubhubはフリーランサーに対して、1日の預金回数に制限なく、1取引あたり50セントで最大500ドルの賃金を即座に預けることができるサービスを提供している。

セキュリティ専門家は、ギグエコノミー企業に対して、パスワードマネージャーや多要素認証（MFA）などの強力なサイバーセキュリティ対策の採用を要求し、アカウントが侵害された兆候を監視することを推奨している。BioCatchのアメリカ地域グローバルアドバイザリーディレクターであるSeth Rudenは、行動バイオメトリックデータを活用して、キーストロークの違いやVPNなどの難読化技術を使用したログインなど、異常な動きを検出する技術の開発が進んでいると述べている。

Grubhubは375,000以上の加盟店と200,000以上の配達提供者を持ち、アメリカの4,000以上の都市でサービスを展開している。2024年秋にWonder Groupに6億5,000万ドルで買収された。この買収価格は、2020年にJust Eat Takeawayが支払った73億ドルと比較して大幅に安い価格だった。

from:Gig-Work Platforms at Risk for Data Breaches, Fraud, Account Takeovers

【編集部解説】

ギグエコノミーの急成長に伴い、その裏側で進行するサイバーセキュリティリスクが深刻化しています。Uber、DoorDash、Grubhubといった私たちの日常生活に溶け込んだサービスが、実はサイバー攻撃の格好の標的となっているのです。

2025年2月4日に発生したGrubhubのデータ侵害事件は、ギグワークプラットフォームが直面する脆弱性を浮き彫りにしました。特に注目すべきは、パスワードが脆弱とされるSHA1ハッシュで暗号化されていたという点です。SHA1は2005年に理論的な脆弱性が発見され、2017年にはGoogleの研究チームによって実際のコリジョン攻撃（同じハッシュ値を生成する異なるデータを見つける攻撃）が実証されています。多くのセキュリティ専門家は、現在ではより強力なSHA-256やbcryptなどの使用を推奨しています。

さらに4月9日には、サイバー犯罪者がデータリークフォーラムに投稿し、約1,700万件のGrubhubパスワードを含む7,000万行のデータを入手したと主張しています。この規模は当初Grubhubが公表していた被害よりもはるかに大きく、企業の透明性に関する問題も提起しています。

ギグワークプラットフォームが特に標的にされる理由は、その独特のビジネスモデルにあります。高い離職率を持つ独立請負業者を多数抱え、彼らが個人所有のデバイスから企業システムにアクセスするという構造は、セキュリティの観点から見ると脆弱性の宝庫と言えるでしょう。

特に注目すべきは、Incogniaの調査によると、ギグエコノミーにおける詐欺の57%が偽アカウントを利用したものであるという点です。ある事例では、詐欺師が800もの偽アカウントを作成し、新規ユーザー向けクーポンを不正利用していました。また、別の事例では、1台のデバイスから400以上の異なるアカウントにアクセスし、30日間で数千ドル相当のプロモーションを不正に利用していたことが明らかになっています。

Beyond Identityの調査によれば、請負業者の87%が以前のクライアントの機密データを含むアカウントへのアクセス権をまだ持っているという驚くべき事実も判明しました。また、マネージャーの73%が、ギグワーカーが退職した後に社内パスワードの変更を忘れたことがあると回答しています。

これらの問題は、ギグエコノミーの成長とともに拡大しています。2025年までに米国の労働力の52%以上がギグワークに参加すると予測されており、日本でもコロナ禍を経て急速に拡大しつつあります。

こうした状況に対応するため、セキュリティ専門家は多要素認証（MFA）やパスワードマネージャーの導入、不審なアカウント活動の監視など、より強固なセキュリティ対策を推奨しています。特に注目すべきは、行動バイオメトリックデータを活用した新しい認証技術の発展です。これにより、キーストロークのパターンやデバイスの使用方法など、ユーザー固有の行動特性に基づいて不正アクセスを検出することが可能になります。

ギグエコノミーのセキュリティ問題は、単にプラットフォーム企業だけの問題ではありません。サービス利用者、ギグワーカー、そして社会全体に影響を及ぼす課題です。特に日本では、デジタル庁が推進するデジタル社会の形成において、サイバーセキュリティの強化は重要な柱の一つとなっています。

今後、ギグエコノミー企業はセキュリティ対策への投資を増やすとともに、ギグワーカーへのセキュリティ教育も強化していく必要があるでしょう。利用者としても、強固なパスワードの使用や二要素認証の有効化など、基本的なセキュリティ対策を心がけることが重要です。

テクノロジーの進化とともに、サイバーセキュリティの脅威も進化し続けています。便利なサービスを安全に利用するためには、企業の対策強化と私たち一人ひとりの意識向上が不可欠なのです。

【編集部補足】

ギグワークとは
ギグワークは「単発の仕事を受ける働き方」を意味する。「ギグ」は音楽用語で一度だけの演奏やセッションを表すスラングから来ている。企業と労働者の間に雇用関係がなく、時間単位で契約する特徴がある。ギグワーカーは個人事業主として働き、自分の都合に合わせて働く時間や場所を選べる高い自由度が特徴だ。

主要なギグワークプラットフォーム

Grubhub
アメリカの食品配達サービス。2004年に設立され、375,000以上の加盟店と200,000以上の配達提供者を持ち、アメリカの4,000以上の都市でサービスを展開している。2024年秋にWonder Groupに6億5,000万ドルで買収された。これは2020年にJust Eat Takeawayが支払った73億ドルと比較して大幅に安い価格だった。

Uber/Uber Eats
2009年設立。配車サービスから始まり、現在は食品配達、貨物輸送など多様なサービスを提供。2024年第4四半期には請負業者とクーリエに200億ドル（約3兆円）を支払った。

DoorDash
2013年に設立された米国サンフランシスコに本社を置くフードデリバリーサービス企業。米国では業界トップシェアを持つ。日本では2021年に進出し、エリアを拡大中。

TaskRabbit
家具の組み立て、引っ越し、修繕作業などの家事代行サービスを提供するマッチングプラットフォーム。米国の47都市、英国の4都市、カナダの1都市でサービスを提供している。

Instacart
2012年設立の食料品・日用品デリバリープラットフォーム。ユーザーがアプリから商品を選択して購入すると、「ショッパー」と呼ばれる配達員が商品を届ける。コストコなど80,000社のパートナーと契約している。

【用語解説】

SHA1ハッシュ
Secure Hash Algorithm 1の略。データを固定長の文字列に変換する暗号化アルゴリズムだが、2005年に理論的な脆弱性が発見され、2017年にはGoogleによって実際の衝突攻撃が実証された。現在は安全性の高いSHA-256やbcryptなどが推奨されている。

多要素認証（MFA）
パスワードだけでなく、スマートフォンへのワンタイムパスワード送信や生体認証など、複数の要素を組み合わせた認証方式。単一の要素が漏洩しても不正アクセスを防止できる。

行動バイオメトリクス
キーボードの打ち方、マウスの動かし方、画面のタッチパターンなど、ユーザー固有の行動特性を分析して本人確認を行う技術。従来の静的な認証方法と比べて模倣が困難。

【参考リンク】

Grubhub公式サイト（外部）アメリカの主要なフードデリバリーサービス。レストランの食事を注文し配達してもらえる。※日本では閲覧不可

Uber公式サイト（外部）
配車サービスを中心に、フードデリバリーなど多様なサービスを提供するプラットフォーム。

DoorDash公式サイト（外部）
アメリカ最大手のフードデリバリーサービス。日本でも展開中。

【参考動画】

【編集部後記】

日本でもUber Eats、出前館、Wolt、DoorDash（旧Wolt）などのフードデリバリーサービスが普及している。総務省の調査によれば、日本のフリーランス人口は約1,500万人に達し、デジタルプラットフォームを介して仕事を得る人々の割合が増加している。デジタル庁が推進するデジタル社会の形成において、ギグワーカーのセキュリティ対策や労働環境の整備は重要な課題となっている。

皆さんは普段、食事の配達サービスやライドシェアなどのギグワークサービスを利用する際、セキュリティについて考えたことはありますか？便利さの裏側で、個人情報や決済データが狙われているかもしれません。多要素認証の設定やパスワードの定期的な変更など、できることから始めてみませんか？また、ギグワーカーとして働いている方は、自分のアカウントを守るためのセキュリティ対策を見直してみてはいかがでしょうか。SHA1などの古い暗号化方式を使用しているサービスには特に注意が必要です。私たちと一緒に、便利さと安全性を両立させる方法を考えていきましょう。