お問い合わせ
2023年6月頃から、オンライン予約サイト「ブッキング・ドットコム(Booking.com)」を通じたフィッシング詐欺が急増し、多くの宿泊施設が被害を受けました。2024年に一時収束したように見えましたが、2024年8月以降も不正アクセスによる被害報告が続いています。
通常のフィッシングメールとは異なり、不正アクセスされた公式サイト側からフィッシングサイトに誘導されるため、被害者が続出しています。
もし被害に遭った場合は、侵入経路や漏えいしたデータを迅速に調査し、全容を把握することが重要です。情報漏えいや不正アクセスが発生した際には、宿泊施設および宿泊者の個人情報保護のため、専門のフォレンジック調査会社に相談することをおすすめします。
本記事では、フィッシング詐欺の概要とBooking.comでの不正アクセス事例を紹介します。
\累計3.9万件の相談実績 24時間365日 相談受付/
目次
Booking.comを経由した不正アクセス・情報漏えい被害の概要
「Booking.com」は、世界最大級のオンライン旅行サイトです。2023年6月、同社が提供する宿泊予約情報管理システムが不正アクセスを受け、日本国内の複数のホテルの予約客の個人情報が流出した可能性が明らかになりました。
出典:日経クロステック
2023年11月15日には、観光庁が「Booking.com利用者へのフィッシング被害に関する注意喚起」を発表。「同社が提供し、宿泊施設で管理する宿泊予約情報管理システムが不正アクセスを受け、一部の旅行者に対してクレジットカードなどの情報を求めるフィッシングサイトへ誘導するメッセージが配信される事案が発生している」と報告しています。
出典:観光庁
主な被害内容
2023年11月15日、観光庁は「Booking.com利用者へのフィッシング被害に関する注意喚起」を発表しました。宿泊施設が管理する予約情報管理システムへの不正アクセスにより、旅行者にクレジットカード情報などを求めるフィッシングサイトへ誘導するメッセージが送信される事例が報告されています。
被害の規模と期間
2023年6月から始まり、2024年12月以降も新たな被害が続いており、100以上の宿泊施設で顧客の個人情報が漏洩した可能性があります。被害は1年以上にわたって継続しており、特にアジア地域で多くの報告があります。漏洩した個人情報は数万人から数十万人にのぼると考えられ、いくつかの施設では数千人規模の漏洩も確認されています。
2024年9月時点で、被害を公表しているホテルの数は依然として増加しています。
| 公表年月 | ホテル名 |
|---|---|
| 2023.06 | 御宿 野乃 大阪淀屋橋(大阪府) |
| 2023.06 | MIMARU SUITES 東京浅草(東京都) |
| 2023.07 | グランヴィア大阪(大阪府) |
| 2023.07-08 | 相鉄ホテルズ ・相鉄グランドフレッサ 高田馬場 (2023年7月30日夜に確認) ・相鉄フレッサイン 銀座七丁目(2023年8月1日夜に確認) ・相鉄フレッサイン 淀屋橋(2023年8月3日夜に確認) ・相鉄フレッサイン 名古屋駅桜通口(2023年8月4日深夜に確認) ・ホテルサンルート”ステラ”上野(2023年8月12日夜に確認) |
| 2023.08 | ホテル京阪 淀屋橋(大阪府) |
| 2023.09 | OF HOTEL(宮城県) |
| 2023.10 | トヨタ白川郷自然學校(岐阜県) |
| 2023.10 | THE GRAND HOTEL GINOWAN(沖縄県) |
| 2024.01 | ホテルウィングインターナショナル旭川駅前(北海道) |
| 2024.04 | 梅小路ポテル京都(京都府) |
| 2024.06 | 沖縄逸の彩ホテル(沖縄県) |
| 2024.07 | ベストウェスタンホテルフィーノ東京秋葉原(東京都) |
| 2024.08 | 静鉄ホテルプレジオ京都(京都府) |
| 2024.09 | 共立リゾート ラビスタ霧島ヒルズ(鹿児島県) |
漏えいした情報の種類
漏洩した可能性のある個人情報には以下が含まれます。
- 氏名
- 電話番号
- メールアドレス
- 国籍
- 住所
- 宿泊日
- 宿泊人数
Booking.comの対応
Booking.comは、不正アクセスと情報漏洩に対して、セキュリティ強化を進めています。2要素認証(2FA)の義務化やワンタイムパスワード(OTP)の導入、AIによる不正アクセス検知強化などを実施しています。
また、パートナーや顧客への啓発活動も行い、フィッシング詐欺に対する警告や2FA利用を促進しています。影響を受けた顧客への補償や返金対応を行い、今後も継続的な調査とセキュリティ対策の更新を進めています。
「Booking.com」に不正アクセスするフィッシング詐欺の手口
「Booking.com」に不正アクセスするフィッシング詐欺の手口は、主に以下の2つの段階に分かれています。
宿泊施設への不正アクセス
攻撃者は、宿泊施設の予約システムに不正にアクセスし、顧客の個人情報や予約情報を入手します。宿泊施設への不正アクセスの手口は主に2つあります。
- マルウェア感染
- 偽サイトへの誘導
マルウェアの感染
攻撃者は宿泊施設のパソコン端末にマルウェアを感染させます。スタッフがマルウェアを含むファイルやリンクを開くことでシステムに感染し、認証情報や個人情報が盗まれて、攻撃者によって不正に利用され、予約管理システムへの不正アクセスが行われます。
偽サイトへの誘導
攻撃者はフィッシング詐欺を利用して、宿泊施設の従業員を偽のログインページに誘導し、認証情報を盗みます。誘導により、「Booking.com」アカウントへの不正アクセスが試みられ、施設のシステムへの侵入リスクが高まります。
- 攻撃者が「Booking.com」で宿泊予約を行う
- 「アレルギー一覧表」などの名目でマルウェアを含むファイルを添付した問い合わせメッセージを宿泊施設に送信する
- 宿泊施設がメッセージを受け取り、添付ファイルをダウンロードする
- ダウンロードしたファイルからマルウェアが宿泊施設のパソコンに感染する
- マルウェアが「Booking.com」の認証情報を窃取する
- 攻撃者が盗んだ認証情報を使用して、宿泊施設の「Booking.com」アカウントに不正アクセスする
ホテル側のサービス精神を利用した手口により、「Booking.com」などの宿泊予約システムへの不正アクセス被害が後を絶たないと考えられます。
\累計3.9万件の相談実績 24時間365日 相談受付/
宿泊施設になりすましてゲストユーザーにフィッシング詐欺を行う手口
攻撃者は「Booking.com」の公式チャット機能を悪用し、宿泊施設になりすましてゲストにフィッシングメッセージを送信し、個人情報を不正に取得しようとします。
ゲストは予約に関連する正当な連絡だと信じ込み、個人情報やクレジットカード情報を提供してしまうリスクがあります。以下は手口の詳細です。
正規チャット機能の悪用
攻撃者は「Booking.com」の公式チャット機能を利用して、宿泊施設になりすましてゲストにフィッシングメッセージを送ります。公式に見えるため、被害者は詐欺に気づきにくく、攻撃者は信頼を得てゲストを騙しやすくなります。
さらに、フィッシングフォームと連動したサポートチャットも表示され、本物だと信じ込ませる要因となります。
緊急性を煽る文言
攻撃者は「正しい番号を入力してください。48時間以内に正しい番号を入力しない場合、予約がキャンセルされます」や「クレジットカードの支払いに問題がある」など、緊急性を煽る文言を使って、被害者に素早く行動させます。
緊急性がある文言により、被害者は焦り、偽のフォームに個人情報を入力してしまう可能性が高くなります。
個人情報の要求
攻撃者はフィッシングフォームを通じて、氏名、住所、電話番号、メールアドレス、クレジットカード番号などの個人情報を不正に収集しようとします。偽のサイトに入力させる形で要求されるため、被害者は本物の公式フォームだと思い込み、情報を提供してしまうことがあります。
予約情報の悪用
攻撃者は宿泊施設の予約情報を悪用し、フィッシングメッセージをさらに信憑性のあるものにします。予約者の名前や宿泊日程など、実際の情報と一致する内容を使用することで、被害者がフィッシングメッセージを信じやすくなり、個人情報を入力してしまうリスクが高まります。
専門家は、今回の手口が非常に巧妙であるため、「本物と見分けるのは困難」と指摘しています。疑わしいメッセージを受け取った際は、URLリンクをクリックせず、直接Booking.com社や宿泊業者の窓口に問い合わせることが推奨されます。公式の窓口に確認することで、詐欺被害を防ぐことができます。
また、もし被害を心配している場合は、早急に専門のフォレンジック調査会社に相談することをおすすめします。
\累計3.9万件の相談実績 24時間365日 相談受付/
「Booking.com」に不正アクセスされているか確認するポイント
宿泊施設側が「Booking.com」に不正アクセスされていないかを確認するポイントを解説します。
「Booking.com」で送信した覚えのないメッセージがある
「Booking.com」で送信した覚えのないメッセージがある場合、管理画面や施設のメールボックスで、施設が送信した覚えのないメッセージや問い合わせがないか確認しましょう。
特に、予約者への不審なメッセージが送信されていないかをチェックすることが重要です。不正アクセス者が不審なメッセージを送信している可能性があります。
社内のメッセージに不審なファイルやURLがないかを確認
「Booking.com」に不正アクセスされているかを確認するためには、社内のメッセージに不審なファイルやURLが送られてきていないかをチェックすることが重要です。攻撃者はマルウェアやフィッシングリンクを使って、内部ネットワークに侵入しようとすることが多いため、以下の点に注意する必要があります。
- ファイル形式
実行ファイル(.exe, .scr)、スクリプトファイル(.bat, .vbs)、アーカイブファイル(.zip, .rar)には注意 - ファイル名
不自然なファイル名は開かない - URLの確認
リンクのドメインが正しいか確認 - 文面の確認
緊急性を煽る内容や不自然な日本語がないかチェック
以上のような特徴を持ったファイルやURLが確認された場合、攻撃者のターゲットになっている可能性が高く、不正アクセスのリスクがあるため、直ちに対応が必要です。
マルウェアなどの不正ファイルがパソコンに入り込んでいないか
社内で使用しているデバイスにマルウェアがダウンロードされている可能性があります。以下の特徴を持つファイルはマルウェアの疑いが高いため、確認が必要です。
- ファイル形式
実行ファイル(.exe、.scrなど)、スクリプトファイル(.bat、.vbsなど)、アーカイブファイル(.zip、.rarなど) - ファイル名
不自然なファイル名や拡張子が変更されているファイル - インストール状況
自分がインストールした覚えのないファイル - 自動起動
勝手に起動しているファイル
マルウェアに感染すると、認証情報が盗まれ不正アクセスが発生する恐れがあります。宿泊業者にとって、システムやデバイスの感染は風評被害を引き起こす可能性があり、感染の排除にはフォレンジック調査が必要です。放置すると、被害が拡大するため、フィッシング詐欺後は速やかに調査を行い、被害を防ぐことが重要です。
フォレンジック調査が有効な理由
フォレンジック調査が有効な理由は以下の3点です。
- 被害原因・侵入経路の特定
- 被害の規模の把握
- 被害の拡大防止
①被害原因・侵入経路の特定
フォレンジック調査では、不正アクセスの痕跡を詳細に分析することで、被害の原因や侵入経路を特定できます。例えば、ホテルの担当者のログイン情報が不正に使用された場合、情報をもとに、悪意ある人物がどのように自社ネットワークに侵入したのかを突き止めることが可能です。
②被害の規模の把握
フォレンジック調査を通じて、不正アクセスによって流出した情報の種類や規模を明確に把握できます。調査情報を基に、どの範囲まで影響が広がったのかが分かり、被害の規模に応じて顧客への適切な通知や対応が可能になります。迅速かつ適切な対応をすることで、顧客の信頼を保つことができます。
③被害の拡大防止
フォレンジック調査では、不正アクセスにより流出した情報が悪用されていないかを監視し、迅速に対応できます。顧客や企業への二次被害を防止し、さらなる被害の拡大を防ぐことができるので、情報漏洩やマルウェア感染の被害を受けた宿泊業者にとって、信頼の回復と被害拡大の防止に非常に重要な手段となります。
\累計3.9万件の相談実績 24時間365日 相談受付/
「Booking.com」情報漏洩による宿泊施設へのリスク
情報漏洩は宿泊施設に法的責任、顧客の信頼喪失、経済的損失、運営への影響を引き起こします。顧客情報の悪用による法的リスクや信頼回復のコスト、業務への影響を避けるためには、迅速な対応が不可欠です。
顧客情報の悪用による法的責任
顧客情報が悪用されると、宿泊施設は法的責任を問われる可能性があります。漏洩した個人情報がなりすましや詐欺、さらには不適切なマーケティング活動に利用されることが考えられ、顧客に重大な影響を与える恐れがあります。
悪用された場合、宿泊施設は個人情報保護法に基づく法的責任を負い、賠償や罰金が科される可能性があります。法的責任には、以下が含まれます。
- 刑事責任
不正に個人情報を提供または盗用した場合 - 行政責任
個人情報保護委員会からの処罰(罰金や報告徴収など) - 民事責任
顧客への損害賠償 - 国際的責任
GDPR(EU一般データ保護規則)に基づく罰金
リスクを回避するためには、顧客情報の適切な管理と従業員教育が不可欠です。万が一情報漏洩が発生した場合には、迅速かつ適切な対応と情報開示が重要です。
顧客の信頼の喪失
顧客情報の漏洩は宿泊施設の信頼を大きく損ないます。これにより、予約やリピーターの減少、新規顧客獲得の難航が生じ、企業にとって深刻な影響を与えます。信頼回復には時間とコストがかかり、事業の再建にも長期的な努力が必要です。信頼を取り戻すためには、積極的な調査やセキュリティ強化の実施、顧客への透明な情報提供が重要です。
経済的損失
情報漏洩による経済的損失は宿泊施設にとって深刻です。漏洩した顧客情報が悪用されると、賠償金や罰金が発生し、信頼喪失に伴って予約減少や売上低下が予想されます。また、修復作業やセキュリティ強化にかかる費用も増え、短期的・長期的に多大なコストがかかることになります。
運営への影響
情報漏洩は宿泊施設の運営に深刻な影響を与えます。信頼喪失や顧客減少は業務効率や収益に直結し、長期的な経営に悪影響を及ぼします。また、漏洩後の調査やセキュリティ強化に時間とリソースを割かれるため、通常の運営に支障が出る可能性があります。ブランドイメージ回復や業務再建には多大な労力とコストがかかります。
もし具体的な被害調査や情報漏洩の有無の確認が必要であれば、専門のフォレンジック調査会社に相談することをおすすめします。
\サイバーセキュリティの専門家に無料相談できる/
「Booking.com」利用者を狙ったフィッシング詐欺の被害とは
フィッシング詐欺とは、偽のウェブサイトを利用して利用者の個人情報や機密情報を盗み取る手口です。実在するサイトを装った偽サイト(フィッシングサイト)に誘導され、クレジットカード番号や口座番号、パスワードなどの情報を入力させられます。
「Booking.com」を利用したフィッシング詐欺では、宿泊施設になりすまし、利用者が公式からのメッセージだと思い込んで偽サイトに誘導されてしまいます。
フィッシング詐欺の被害事例としては次のものがあります。
個人情報・クレジットカード情報が盗まれる
詐欺師が偽の「Booking.com」サイトに誘導されると、利用者はログイン情報や支払い情報を入力するよう促されます。サイトに入力した情報は、すべて詐欺師に送信され、悪用される可能性があります。
- 偽サイトへの誘導
「Booking.com」を模倣した偽サイトを作成し、公式風のメールやSMSで利用者を誘導 - 情報入力の要求
偽サイトで、ログイン情報、クレジットカード番号、住所、電話番号などの入力を促される - 情報の盗難
入力された情報が詐欺師に渡り、不正利用や個人情報の売買に悪用される
情報が盗まれると、不正利用やなりすまし、詐欺に繋がる可能性があります。金銭的な被害も甚大になりやすいため、被害に遭った場合は、速やかにクレジットカード会社や銀行に連絡し、対策を講じることが重要です。
不正アクセスを受ける
不正アクセスとは、第三者が正当な権限なしに情報システムに侵入する行為です。フィッシング詐欺により端末やアカウントが不正アクセスされると、個人情報の盗難やシステムの停止、情報漏洩が発生する可能性があり、企業や個人に深刻な影響を与えるリスクがあります。
マルウェア感染する
マルウェアは、デバイスの脆弱性を利用して情報を盗んだり破壊したりするウイルスです。フィッシングメッセージに添付されたファイルには、マルウェアが仕込まれていることが多く、パソコンやスマートフォンが遠隔操作される恐れがあります。
Booking.comの事例では、マルウェアが仕込まれたとみられる「パスワード付きファイルのダウンロード」「QRコードの読み取り」を促す事例も報告されました。
フィッシングメッセージによる被害調査では、デジタルデータを分析してマルウェアの種類や感染経路を特定できます。正確な調査にはサイバーセキュリティの専門家の対応が必要です。
\サイバーセキュリティの専門家に無料相談できる/
「Booking.com」の安全な予約方法
「Booking.com」で安全に予約するための10のポイントを以下に紹介します。
- 緊急連絡は詐欺を疑う
- 送信元アドレス確認
- 公式サイトで確認
- 個人情報要求に注意
- リンクにアクセスしない
- 公式プラットフォームで支払い
- セキュリティソリューションを導入
- OSとブラウザを定期的にアップデート
- 強いパスワードを設定し、多要素認証を利用
- 不審な事案に遭遇した場合は、速やかにカスタマーサービスに連絡
上記ポイントを守ることで、安全に予約できます。
\サイバーセキュリティの専門家に無料相談できる/
不正アクセスの調査を依頼したい場合は専門家に相談を
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
