近年、ホテルや観光業を狙ったサイバー攻撃が巧妙化し、被害が拡大しています。

攻撃者は、宿泊予約者やホテル従業員を装い、マルウェアを感染させ、公式のホテル予約サイトを経由し、宿泊予約情報やクレジットカード情報などの個人情報を窃取する手口が散見されます。

ハッキング被害に遭遇した場合、宿泊事業者は不正侵入の調査を行い、インシデントの全体像を正確に把握することが重要です。この記事では、不正アクセスの事例・手口を紹介します。

＼サイバーセキュリティの専門家に無料相談できる／

ホテルや観光業のサイバー攻撃が増加している理由

2023年以降、新型コロナウイルス感染症にともなう「旅行離れ」が落ち着きを見せ、観光需要が回復してきた傾向があります。

ホテルや観光施設は、宿泊客や利用客の個人情報（氏名、住所、電話番号、クレジットカード情報、パスポート情報など）が大量に保管されており、国内の観光業を狙うサイバー攻撃も増加傾向にあります。そうした中、2023年以降、世界最大級の宿泊予約サービス「ブッキング・ドットコム」が大規模なサイバー攻撃に遭いました。

その結果、国内のホテル事業者で同社の宿泊予約サービスを利用している事業者が、情報漏えいのインシデントを引き起こす結果となりました。

こういったサイバー攻撃が発生した場合、事業者は速やかに被害状況を把握し、必要に応じて、警察や情報処理推進機構（IPA）などの関係機関に報告する必要があります。

私たちデジタルデータフォレンジック（DDF）には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査しています。

具体的な被害調査や情報漏えい有無の確認を行いたい場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。

＼サイバーセキュリティの専門家に無料相談できる／

ホテルや観光業のサイバー攻撃の主な手口と流れ

近年、観光業でよく見られる攻撃手口のパターンを5つのステップに分けて解説します。

①攻撃者が「宿泊者からの問い合わせ」を装った不正メールを送信

攻撃者は、宿泊予約者になりすまし、ホテルに問い合わせメールを送信します。メールには予約内容や変更依頼など、あたかも宿泊者から寄せられたような内容が記載されています。

②ホテル側がマルウェアに感染

「添付ファイルを開く」「記載されたURLをクリックする」などすると端末がトロイの木馬型マルウェアに感染します。ファイルが実行されるとユーザーの知らない間に、様々な悪意のある動作を実行します。

③ホテルの宿泊予約サイトの管理者アカウント情報を窃取

端末が感染すると、宿泊予約サイトの管理者権限を奪われ、宿泊予約の詳細な個人情報やクレジットカード情報など顧客データにアクセスすることが可能になります。

④宿泊予約管理システムのチャット機能を悪用し、宿泊予約者にフィッシングメッセージを送信

不正アクセスした管理システムのチャット機能を利用して、宿泊予約者に予約確認やキャンセル手続きなどを装ったフィッシングメッセージを「公式チャット」等から送信します。

⑤宿泊予約者の情報やクレジットカード情報を窃取

宿泊予約者に対し、攻撃者は公式チャットを利用して偽のメッセージを送信します。このメッセージには悪意あるリンクが含まれており、個人情報を入力するページに誘導されます。

ホテルや観光業を狙った国内の被害事例

宿泊予約サービスを利用しているホテル事業者は、被害が発覚した場合、適切な調査を行う必要があります。

ホテルや観光業を狙った国内の被害事例では、世界最大級の旅行予約サイト「Booking.com」（2023）と「Expedia」（2024）の利用業者の被害が多発しました。

ここでは、その具体的な被害事例を見ていきましょう。

「Booking.com」利用業者による宿泊客情報漏洩（2023）

2023年6月頃から、世界最大級のオンライン旅行予約サイト「Booking.com」経由で宿泊予約を行った宿泊客を狙ったフィッシング詐欺が国内で多数発生しました。

この手口は、Booking.comの予約システムに不正アクセスした第三者が、宿泊施設になりすまして宿泊客にメールを送信するというものです。

メールには、予約内容の確認や変更依頼など、あたかも宿泊施設から送られたような内容が記載されており、中には返金に関する案内を装い、偽のURLを記載したものもありました。

「Booking.com」を利用した詐欺が多発？不正アクセスの手口や対処法を徹底解説大手宿泊予約サイト「Booking.com」が不正アクセスを受け、利用者に被害が発生しています。被害に遭った場合は、調査機関にて被害を早急に調査することが重要です。当サービスはデータ復旧専門業者14年連続データ復旧国内売上No.1、復旧ご相談件数約41万件、データ復旧率95.2%の実力を活かしたフォレンジックサービスを提供しています。...

「Expedia」利用業者による宿泊客情報漏洩（2024）

2024年4月頃から、世界最大級のオンライン旅行予約サイト「エクスペディア（Expedia）」が提供している「宿泊予約情報管理システム」を経由したフィッシング詐欺が問題となっています。

一部の予約客に対してクレジットカードなどの情報を求めるフィッシングサイトへ誘導するメッセージが配信されたことが明らかになりました。

「エクスペディア」不正利用で情報漏えいの可能性：調査の必要性を徹底解説大手宿泊予約サイト「エクスペディア」が不正アクセスを受け、利用者に被害が発生しています。被害に遭った場合は、調査機関にて被害を早急に調査することが重要です。当サービスはデータ復旧専門業者14年連続データ復旧国内売上No.1、復旧ご相談件数約41万件、データ復旧率95.2%の実力を活かしたフォレンジックサービスを提供しています。...

サイバー攻撃・不正アクセスの被害を防ぐための対策

サイバー攻撃や不正アクセスは、企業や個人に甚大な被害を及ぼす可能性があります。そのため、事前に適切な予防策を講じることが非常に重要です。

以下に、基本的な対策を挙げます。

メールのURLは安易にクリックしない

メールに記載されたURLは、よく確認してからクリックしましょう。不審なURLをクリックすると、フィッシングサイトに誘導される可能性があります。

パスワードの使い回しは厳禁

複数のサービスで同じパスワードを使用するのは避けましょう。パスワードは英数字、記号などを組み合わせた複雑なものに設定し、定期的に変更しましょう。

セキュリティ対策ソフトを導入する

ウイルス対策ソフトやファイアウォールなどのセキュリティ対策ソフトを導入し、常に最新の状態に更新しましょう。

不審に感じたら直接相互に連絡を取る

メールやメッセージで不審な内容を受け取った場合は、メールやメッセージに記載されている宿泊予約サービスやホテルに直接連絡を取り、内容を確認しましょう。

企業の情報漏えいインシデント対応が義務化されています

2022年4月からは、個人情報保護法が改正された影響で、情報漏えいが発生した場合、被害者と個人情報保護委員会に報告する義務化されました。

したがって、企業が個人情報を漏えいした場合、不正行為の経路や、漏えいの被害範囲や有無を調べ、同様の事故が再発しない措置を講じるなど、迅速な対応が求められます。

同法に基づき、企業は以下にあげる被害の全容を把握し、対策を練る必要があります。

• 漏えいした情報の種類と件数
• 漏えいした個人情報の項目
• 漏えい経路
• 漏えい時期

基本ステップとしては漏えいの兆候や具体的な事実を確認後、速やかに対応体制を整え、情報の隔離、ネットワーク遮断、サービスの停止などの措置を取り、不正アクセスの状況を調べます。その後、関係者への通知、監督官庁や警察への届出、公表の検討も行いましょう。

改正個人情報保護法に準拠した対応および被害事例はこちら

情報漏えいにおける個人情報保護委員会への報告義務についてはこちら

最高1億円の罰金が科せられる恐れも

仮に「悪質な管理体制で個人情報の不正流用が発生した」もしくは「措置命令違反があった」場合、最高1億円の罰金が科せられる恐れもあります。

このため、顧客情報を取り扱う企業や組織は、情報漏えいが発生時、どの情報が、どのような経緯や経路で漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。

ただ、被害調査を行う場合、専門技術が必要です。これは自社のみでの対応が困難のため、第三者調査機関であるサイバーセキュリティ専門家と提携しての調査をおすすめします。

私たちデジタルデータフォレンジック（DDF）には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。

具体的な被害調査や情報漏えい有無の確認を行いたい場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。

＼相談から最短30分でWeb打ち合わせを開催／

データ漏えいの調査でフォレンジックが有効な理由

エクスペディアを利用している宿泊業者は、システムやデバイスにマルウェアが感染している可能性を払拭するためにもフォレンジック調査が必要です。

フォレンジック調査は、コンピュータやネットワーク機器、ログファイルなどを分析し、不正アクセスの原因や、具体的な被害状況を明らかする専門的な調査手法です。

脆弱性を放置すると、さらなる不正アクセスが発生する恐れがあるため、被害を受けた場合は、マルウェア感染や不正アクセスの調査を行い、被害を拡大させないことが重要です。

フォレンジック調査が有効な理由としては、以下の3つが挙げられます。

1. 被害原因・侵入経路を特定できる
2. 被害の規模を把握できる
3. 被害の拡大を防げる

①被害原因・侵入経路を特定できる

フォレンジック調査では、不正アクセスの痕跡を分析し、被害の原因を特定します。

例えば、ホテルの担当者のログイン情報が不正に使用されたと疑われる場合、悪意のある人物が自社のネットワークに侵入した可能性があるため、被害の原因や侵入経路を特定するための適切な調査が必要となります。

この際、フォレンジック調査では、収集したデータを用いて、不正アクセスの方法、攻撃が行われた時間、侵入された経路、影響を受けたデータなどを解析します。

また調査を通じて得られた情報をもとに、セキュリティポリシーの更新、システムの強化、従業員への教育の強化など、具体的な対策につなげることができます。

②被害の規模を把握できる

フォレンジック調査では、不正アクセスによって流出した情報の種類、規模を把握することができます。

例えば「何の情報が漏れたか」「どのような影響を受けたか」などの情報をフォレンジック調査で具体的かつ正確に把握することで被害状況をはじめ、影響を受けた利用者がどう対応すべきか適切に通知することができます。

③再発防止や被害拡大を防げる

フォレンジック調査では、インシデントの原因となった脆弱性や攻撃手法を明らかにし、再発防止につなげることができます。

このように、フォレンジック調査は、情報漏えいやマルウェア感染の被害を受けた宿泊業者にとって、被害の拡大を防ぎ、信用回復につなげるための重要な手段となります。

私たちデジタルデータフォレンジック（DDF）には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、相談や見積もりを無料で受け付けています。

いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。

＼累計3.9万件の相談実績　24時間365日 相談受付／

警察の「サイバー犯罪対策課」に相談しても有効な手段を講じることは難しい

不正アクセス被害に遭遇した場合、警察の「サイバー犯罪対策課」に相談に行っても、有効な手段を講じることができないケースは少なくありません。

その理由は、以下の3つにまとめられます。

警察の捜査やリソースには限界がある

警察のサイバー犯罪対策課は限られた予算や技術リソースを有しており、サイバー犯罪の増加に追いつくことが難しい状況があります。

また近年は膨大な数の不正アクセス事件が発生しており、国外からの攻撃であることも多く、それぞれの事件に対処するためには膨大な時間と労力がかかります。その結果、特定の被害者の個別の事件に効果的に対応するのは難しい傾向があります。

技術的な知識や専門性が要求される

サイバー犯罪は高度で複雑な技術を用いたものが多く、捜査には高度な技術的知識と専門性が求められます。サイバー犯罪者の多くは匿名性を保ちつつ、様々な手法で犯罪を行うため、通常の捜査手法だけでなく、サイバーセキュリティやネットワークの専門知識が必要です。警察機関がこれらのスキルを十分に持っていない場合、迅速な捜査が難しくなります。

不正アクセス禁止法の要件を満たす必要がある

不正アクセス禁止法には特定の要件があり、これを満たさないと捜査や起訴が難しい場合があります。また犯罪者が国外を経由している場合、法的な障壁が生じることがあります。これにより、法執行機関でも簡単に犯罪者を追跡・摘発することが難しくなります。

これらの理由から、単に被害者が警察に相談しても、不正アクセス事件に対して迅速かつ有効な対策を講じることは難しい場合があります。

サイバー攻撃による被害を調べたい場合は、専門家に相談する