お問い合わせ
2023年6月頃から、オンライン予約サイト「ブッキング・ドットコム(Booking.com)」でのフィッシング詐欺が問題となっています。
2024年に入り、被害は収束に向かっていると思われましたが、2024年8月以降も不正アクセス被害を報告する宿泊施設が増えています。
これは通常のフィッシングメールとは異なり、不正アクセスされた公式サイト側からフィッシングサイトに誘導されるため、被害者が続出しています。
被害に遭った場合、侵入経路や漏えいしたデータを調査し、全容を把握することが重要です。本記事では、フィッシング詐欺の概要をはじめ、Booking.comでの不正アクセス事例を紹介します。
目次
Booking.comを経由した不正アクセス・情報漏えい被害の概要
「Booking.com」は、世界最大級のオンライン旅行サイトです。2023年6月、同社が提供する宿泊予約情報管理システムが不正アクセスを受け、日本国内の複数のホテルの予約客の個人情報が流出した可能性が明らかになりました。
参考:日経クロステック
2023年11月15日には、観光庁が「Booking.com利用者へのフィッシング被害に関する注意喚起」を発表。「同社が提供し、宿泊施設で管理する宿泊予約情報管理システムが不正アクセスを受け、一部の旅行者に対してクレジットカードなどの情報を求めるフィッシングサイトへ誘導するメッセージが配信される事案が発生している」と報告しています。
参考:観光庁
以下のように、被害を公表しているホテルは2024年9月時点でも増加し続けています。
| 公表年月 | ホテル名 |
|---|---|
| 2023.06 | 御宿 野乃 大阪淀屋橋(大阪府) |
| 2023.06 | MIMARU SUITES 東京浅草(東京都) |
| 2023.07 | グランヴィア大阪(大阪府) |
| 2023.07-08 | 相鉄ホテルズ ・相鉄グランドフレッサ 高田馬場 (2023年7月30日夜に確認) ・相鉄フレッサイン 銀座七丁目(2023年8月1日夜に確認) ・相鉄フレッサイン 淀屋橋(2023年8月3日夜に確認) ・相鉄フレッサイン 名古屋駅桜通口(2023年8月4日深夜に確認) ・ホテルサンルート”ステラ”上野(2023年8月12日夜に確認) |
| 2023.08 | ホテル京阪 淀屋橋(大阪府) |
| 2023.09 | OF HOTEL(宮城県) |
| 2023.10 | トヨタ白川郷自然學校(岐阜県) |
| 2023.10 | THE GRAND HOTEL GINOWAN(沖縄県) |
| 2024.01 | ホテルウィングインターナショナル旭川駅前(北海道) |
| 2024.04 | 梅小路ポテル京都(京都府) |
| 2024.06 | 沖縄逸の彩ホテル(沖縄県) |
| 2024.07 | ベストウェスタンホテルフィーノ東京秋葉原(東京都) |
| 2024.08 | 静鉄ホテルプレジオ京都(京都府) |
| 2024.09 | 共立リゾート ラビスタ霧島ヒルズ(鹿児島県) |
例えばホテル京阪は「Booking.com」の予約管理システムが不正アクセスを受け、400人以上の客に不審なメッセージが届いたと報告しています。また他のホテル会社でも同様の不正アクセスが報告されており、以下のような情報が流出した可能性があるそうです。
- 氏名
- 住所
- 電話番号
- メールアドレス
- クレジットカード番号
- 予約日時
- 宿泊人数
- 部屋タイプ
「Booking.com」に不正アクセスするフィッシング詐欺の手口
「Booking.com」に不正アクセスしてフィッシング詐欺を行う手口は、大きく分けて2つの段階に分けることができます。
- 宿泊施設側に不正アクセスするまで
- 宿泊施設になりすましてゲストユーザーにフィッシング詐欺をする
宿泊施設側に不正アクセスするまで
これは攻撃者が宿泊施設を騙して、宿泊施設のパソコン端末に不正アクセスするまでの手口を解説します。宿泊施設の「Booking.com」に不正アクセスする手口の例は次のとおりです。
- 宿泊施設のパソコン端末に、マルウェアを感染させる
- 宿泊施設のネットワークに、脆弱性を突いた攻撃を行う
- 宿泊施設の従業員をフィッシング詐欺で騙して、パスワードや個人情報を盗む
攻撃者の目的は宿泊施設の予約管理システムに不正アクセスすることです。そのため不正アクセスするためには認証情報が必要になります。
一般的に、攻撃者は上記のような方法で認証情報を盗み取ろうとしますが、宿泊施設に対しては予約管理システム「Booking.com」を用いた特徴的な不正アクセスの手口が存在します。
- 攻撃者が「Booking.com」を利用して宿泊予約をします。
- 攻撃者が問い合わせメッセージを送信します。これはマルウェアのファイルが添付してあり、「アレルギー一覧表」などの名目で送信されています。
- 宿泊施設側はお客様の「アレルギー一覧表」としてファイルをダウンロード、宿泊施設のパソコンにマルウェアがダウンロードされます。
- このマルウェアは、アカウント情報などを窃取する情報窃取型で、「Booking.com」の認証情報を盗まれてしまいます。
- 盗んだ認証情報を利用して、攻撃者が宿泊施設の「Booking.com」アカウントに不正アクセスされます。
このようにホテル側のお客様をおもてなししようとするサービス心を利用した手口なため、「Booking.com」などの宿泊予約システムへの不正アクセス被害が後を絶たないと思われます。
宿泊施設になりすましてゲストユーザーにフィッシング詐欺をする
「Booking.com」などの宿泊予約システムへ不正アクセスした攻撃者は、宿泊者へターゲットを切り替えます。
「Booking.com」の宿泊施設と予約者とで通じるメッセージ機能を利用して、宿泊施設になりすまして予約者にフィッシングメッセージを送ります。
添付されたURLのフィッシングフォームでは、氏名、住所、電話番号、メールアドレス、クレジットカード番号などを要求されます。
利用者が騙されやすい理由は大きく2つあり、
- Booking.comの公式サイトからメールやアプリ通知を受けるため、被害者はそれが詐欺であると認識しにくい。
- フィッシングフォーム自体も非常に巧妙で、予約の施設や日付、価格など、すべてが正確に合致しているため、被害者は入力した情報が本物であると信じやすい。
具体的なメッセージとしては「正しい番号を入力してください。48時間以内に正しい番号を入力しない場合、予約がキャンセルになります」というものがあります。
これは決済に利用したクレジットカード番号が間違っていた場合、実際に表示されるもので、公式チャットから送られてくることもあり、被害に遭うゲストユーザーが少なくありません。
さらに悪質なのは、フィッシングフォームと同時に立ち上がるサポートチャットです。これは「公式サイト上で行われること」「チャットを通じてコミュニケーションを取りながら情報を入力してしまうこと」などから本物であると信じ込みやすいと考えられます。
これにかぎらず、疑わしいメッセージの配信を受けた場合、URLリンクへのアクセスをせず、Booking.com社、または宿泊業者の窓口まで問い合わせることをおすすめします。
「Booking.com」に不正アクセスされているか確認するポイント
宿泊施設側が「Booking.com」に不正アクセスされていないかを確認するポイントを解説します。
「Booking.com」でのメッセージで送信した覚えのないものがある
「Booking.com」に宿泊施設側に覚えのないメッセージがある場合は、不正アクセスされている可能性が非常に高いです。
攻撃者が送信したとみられるメッセージの場合は、ほとんど確定と考えていいでしょう。
社内のメッセージに不自然なファイルやURLが送られてきていないか
社内で使用しているメッセージアプリ、メールや「Booking.com」のメッセージ機能などに不自然なファイルやURLが送られてきていないか確認してみましょう。
- ファイル形式: 実行ファイル(.exe, .scrなど)、スクリプトファイル(.bat, .vbsなど)、アーカイブファイル(.zip, .rarなど)は特に注意しましょう。
- ファイル名: 不自然なファイル名のファイルは開かないようにしましょう。
- URLの確認:ドメインが正しいか確認しましょう。
- 文面の確認: 緊急性を煽るような文面や、翻訳ミスのような不自然な日本語は注意が必要です。
以上のような特徴のファイルやURLのメッセージが確認されたら、攻撃者のターゲットになっているため不正アクセスされている可能性が高いです。
マルウェアなどのファイルがパソコンに入り込んでいないか
社内で使用しているデバイスにマルウェアがダウンロードされている可能性があります。先ほどと被りますが以下の特徴のファイルはマルウェアの可能性が高いです。
- ファイル形式: 実行ファイル(.exe, .scrなど)、スクリプトファイル(.bat, .vbsなど)、アーカイブファイル(.zip, .rarなど
- ファイル名: 不自然なファイル名や、拡張子が変更されているファイル
- 誰もインストールした覚えのないファイル
- 勝手に起動しているファイル
マルウェアに感染していた場合、認証情報が盗まれている可能性があるため不正アクセスが疑われます。
Booking.comを利用している宿泊業者も風評被害が大きく、システムやデバイスにマルウェアが感染している可能性を払拭するためにもフォレンジック調査が必要です。
このような状態を放置すると、マルウェア感染やさらなる不正アクセスなどが発生し、被害が深刻化する恐れがあります。したがって、フィッシング詐欺の被害を受けた場合は、マルウェア感染や不正アクセスの調査を行い、被害を拡大させないようにすることが重要です。
フォレンジック調査が有効な理由
フォレンジック調査が有効な理由は以下3つが挙げられます。
- 被害原因・侵入経路を特定できる
- 被害の規模を把握できる
- 被害の拡大を防げる
①被害原因・侵入経路を特定できる
フォレンジック調査では、不正アクセスの痕跡を分析することで、被害の原因を特定することができます。
例えばホテルの担当者のログイン情報を使った不正アクセスが疑われる場合、悪意ある人物が自社のネットワークに侵入している恐れがあることから、被害原因・侵入経路を特定するなど、適切な調査が必要です。
②被害の規模を把握できる
フォレンジック調査では、不正アクセスによって流出した情報の種類、規模を把握することができます。被害の規模を把握することで、顧客への適切な対応を行うことができます。
③被害の拡大を防げる
フォレンジック調査では、不正アクセスで流出した情報が悪用されていないかを確認することができます。被害の拡大を防ぐことで、顧客の二次被害を防止することができます。
このように、フォレンジック調査は、情報漏えいやマルウェア感染の被害を受けた宿泊業者にとって、被害の拡大を防ぎ、信用回復につなげるための重要な手段となります。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが40名以上在籍しており、相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\累計2.4万件の相談実績 24時間365日 相談受付/
「Booking.com」情報漏洩による宿泊施設の損害リスク
2023年6月に発生した「Booking.com」への不正アクセスは、Booking.comを利用している日本国内のホテルに風評被害や予約の減少などの悪影響を与えました。
これは、いわゆる「フィッシングサイト」にリダイレクトするものとは異なり、宿泊予約済みの施設からの連絡手段として設定されたDMを経由して情報を抜き取る手口です。
Booking.comでは本来、チャットを用いて、クレジットカード情報を求めたり、キャンセルの注意メールを送らないもの、公式のチャット機能・メール送信機能が悪用されたことで、被害が続出した模様です。
もし情報漏洩やマルウェア感染が判明した場合、宿泊業者の信用は大きく失墜する可能性があります。そのため、宿泊施設は自社システムへの不正アクセスの有無など、現状を正確に把握しておく必要があります。
自社のプラットフォームを利用している顧客や関係者の個人情報が漏洩した場合、企業には以下のリスクが発生する可能性があります。
- 顧客情報の悪用
- 顧客の信頼の喪失
顧客情報の悪用
漏洩した個人情報が、不正利用や犯罪に使われる可能性もあります。たとえば、漏えいした個人情報を悪用することで、なりすましや詐欺などの犯罪行為が行われるだけでなく、不正なマーケティングによって顧客に対して不適切な広告や勧誘が行われる恐れもあります。
顧客の信頼の喪失
顧客は、企業のセキュリティ対策に不安を感じることがあります。そのため、顧客は自社のサービスや商品の利用を控える可能性があります。このような信頼の喪失は、企業にとって重大な影響をもたらす可能性があります。
顧客の信頼を取り戻すためには、企業は積極的な調査や具体的なセキュリティ対策を講じる必要があります。例えば、セキュリティ対策を強化するだけでなく、顧客への情報提供や対話の機会を増やすことも重要です。また、信頼を回復するためには時間がかかる場合もありますが、顧客との関係を修復することは、企業の長期的な成功にとって不可欠です。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。
具体的な被害調査や情報漏洩の有無の確認を行いたい場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\サイバーセキュリティの専門家に無料相談できる/
企業の情報漏えいインシデント対応が義務化されています
2022年4月からは、個人情報保護法が改正された影響で、情報漏えいが発生した場合、被害者と個人情報保護委員会に報告する義務化されました。
特に、以下のようなケースに該当する場合、委員会への報告と本人への通知が必要です。
- (1)要配慮個人情報(人種、信条、社会的身分、病歴など)が含まれる個人データの漏えい等
- (2)不正に利用されることにより財産的被害が生じるおそれがある個人データ(クレジットカード情報や口座情報)の漏えい等
- (3)不正の目的をもって行われたおそれがある個人データの漏えい等
- (4)個人データに係る本人の数が1,000人を超える漏えい等
- (5)条例要配慮個人情報が含まれる保有個人情報の漏えい等
したがって「マルウェアに感染した」、「ハッキングによる情報漏えいが疑われる」 場合、被害範囲や不正行為の経路を調べることが大切です。
情報漏えいにおける個人情報保護委員会への報告義務についてはこちら
最高1億円の罰金が科せられる恐れも
仮に「悪質な管理体制で個人情報の不正流用が発生した」もしくは「措置命令違反があった」場合、最高1億円の罰金が科せられる恐れもあります。
このため、顧客情報を取り扱う企業や組織は、情報漏えいが発生時、どの情報が、どのような経緯や経路で漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。
ただ、被害調査を行う場合、専門技術が必要です。これは自社のみでの対応が困難のため、第三者調査機関であるサイバーセキュリティ専門家と提携しての調査をおすすめします。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\相談から最短30分でWeb打ち合わせを開催/
法人様は最短30分でWeb打ち合せ(無料)を設定
「Booking.com」利用者を狙ったフィッシング詐欺の被害とは
フィッシング詐欺とは、クレジットカード番号や口座番号、パスワードなどの機密情報を盗み取る目的で実在のサイトを装った偽サイト(フィッシングサイト)に誘導し、個人情報やクレジットカード情報を盗みだす手口です。
「Booking.com」を利用して宿泊施設になりすます手口のため、利用者は公式からのメッセージと思い込みフィッシングサイトに誘導されてしまいます。
フィッシング詐欺の被害事例としては次のものがあります。
- 個人情報・クレジットカード情報が盗まれる
- 不正アクセスされる
- マルウェア感染する
個人情報・クレジットカード情報が盗まれる
フィッシング詐欺で盗まれる個人情報には、以下のようなものがあります。
- 氏名、住所、電話番号、メールアドレスなどの基本情報
- クレジットカード番号、暗証番号などの金融情報
- パスワード、IDなどのアカウント情報
- 運転免許証番号、マイナンバーなどの本人確認情報
このような情報が盗まれると、不正利用やなりすましなどの被害に遭う可能性があります。
金銭的な被害は甚大になりやすいため、フィッシング被害に遭った場合は、速やかにクレジットカード会社や銀行に連絡し、被害を防止するための措置を講じることが重要です。
不正アクセスされる
不正アクセスとは、本来アクセス権を持たない第三者が、情報システムやネットワークに不正にアクセスする行為のことです。
フィッシング詐欺によって、端末などに不正アクセスされてしまうと、情報システムの停止、情報漏洩などの被害が発生する可能性があります。
マルウェア感染する
マルウェアとは、デバイスに害を与えることを目的に、デバイスの脆弱性を利用して情報の盗難や破壊を行うウイルスです。
フィッシングメッセージに添付されたファイルには、このようなマルウェアが仕込まれていることが多く、パソコンやスマートフォンが遠隔操作で乗っ取られる可能性があります。
Booking.comの事例では、マルウェアが仕込まれたとみられる「パスワード付きファイルのダウンロード」「QRコードの読み取り」を促す事例も報告されました。
フィッシングメッセージによる被害を調査する際には、パソコンやスマートフォンに残されたデジタルデータから、マルウェアや遠隔操作の痕跡を収集・分析することで、マルウェアの種類や感染経路などを把握することができます。
正確な調査を行う場合は、サイバーセキュリティの専門家まで対応を依頼しましょう。
「Booking.com」の安全な予約方法
「Booking.com」の安全な予約方法を紹介します。紹介しているポイントを参考に安全に予約しましょう。
- Booking.comまたは宿泊施設から「緊急」の連絡を受信した場合は詐欺を疑う。
- メールの送信元アドレスが正規のドメインか毎回確認する。
- 不審な連絡があった場合は、Webサイトからログインして状況を確認する。
- Booking.comがメールやチャットを通じてクレジットカード情報、社会保障番号、パスワードを要求することはない。このような要求は詐欺を疑う。
- メールおよびメッセージに含まれるリンクにはアクセスしない。
- 支払いはBooking.comの公式プラットフォームを通じて行う。宿泊施設には送金しない。
- Webブラウザの保護機能を持つセキュリティソリューションを導入し、フィッシングサイトへのアクセスを防止する。
- 宿泊施設を探す前にオペレーティングシステムおよびWebブラウザを最新版にアップデートする。
- アカウントには一意で強力なパスワードを設定する。可能であれば多要素認証(MFA: Multi-Factor Authentication)を利用する。
- 不審な事案に遭遇した場合は、速やかにカスタマーサービスに連絡する。
情報流出・不正アクセス被害・マルウェア感染を調べたい場合は、専門家に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ハッキング調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
