2023年6月以降、Booking.comにおけるフィッシング詐欺が深刻化しています。

これは通常のフィッシングメールとは異なり、不正アクセスされた公式サイトを経由して被害者がフィッシングサイトに誘導されるという手口で、多くの被害が発生しています。特に被害に遭った企業は侵入経路や漏えいデータの調査が不可欠です。

そこで本記事では、その概要とBooking.comにおける不正アクセスの事例を詳しく紹介していきます。

「Booking.com」を経由した不正アクセス被害とは

最近、オランダの宿泊管理サービスである「Booking.com」において、国内のホテルが不正アクセスによる被害に見舞われています。この被害により、ホテル等の宿泊施設のパソコン端末がハッキングされ、予約客のクレジットカード情報が盗まれるという深刻な問題が発生しています。

不正アクセスの手口は非常に巧妙で、Booking.comの公式チャット機能を悪用し、第三者が不審なメッセージやメールを送信することで行われます。具体的な流れは次のとおりです。

1. 公式メールアドレスから「ホテルからメッセージが来ている」旨のメールが届く。
2. 公式HP専用のメッセージにて、クレジットカードの支払いがうまくできていない旨のメッセージが届く。
3. クレジットカードの確認と認証を求める文章とQRコードが添付され、偽サイトの入力画面に誘導される。

被害は2023年5月以降、日本国内で相次いでおり、11月時点で少なくとも68の宿泊施設が被害を公表しています。Booking.comを運営する企業は、被害が世界的な規模で広がっていることを認め、盗まれた情報が不正決済に使用された可能性も指摘し、被害にあった顧客らへの対応に努めていると述べています。

参考：観光庁

「Booking.com」で不正アクセス被害に遭ってしまったらどうなるか

「Booking.com」で不正アクセス被害に遭った場合、次のような被害が想定されます。

• クレジットカード情報の漏洩
• 個人情報の漏洩
• アカウントの乗っ取り

クレジットカード情報の漏洩

クレジットカード情報が漏洩した場合、不正利用される可能性があります。

不正利用された場合、すぐにクレジットカード会社に連絡しましょう。

個人情報の漏洩

氏名、住所、電話番号などの個人情報が漏えいした場合、攻撃者は、被害者の個人情報をもとに、偽のメールやメッセージを第三者に送り、個人情報を盗もうとする恐れがあります。

アカウントの乗っ取り

被害者のアカウントが乗っ取られた場合、攻撃者は被害者の名義で他のアカウントにログインしたり、被害者の友人や知人に不審なメールやメッセージを送ったりすることがあります。

Booking.comを経由した不正アクセスの手口

Booking.comを経由した不正アクセスの手口は次のとおりです。

宿泊施設側をだます手口

Booking.comは、ホテルの予約情報や顧客情報を管理するためのシステムを提供しています。このシステムに不正アクセスされると、顧客の氏名、住所、電話番号、クレジットカード情報などが漏えいする可能性があります。

不正アクセスの原因としては、ホテルの管理システムの脆弱性や、ホテルの従業員の不注意によるマルウェア感染などが考えられます。

ゲストユーザーをだます手口

攻撃者は、漏えいしたBooking.comのチャット機能やメール送信機能を悪用し、ゲストユーザーを偽サイトに誘導した上で、クレジットカードの認証を求める手口も使っています。もしリンク先を開いてしまった場合、クレジットカードなどの個人情報は絶対に入力しないようにしてください。

ゲストユーザーは、こうした被害に遭わないよう、メールやメッセージに記載されている内容が、実際にBooking.comから送信されたものであるかどうかをBooking.comの公式Webサイトや宿泊業者側に確認する必要があります。

「Booking.com」被害を公表している企業事例

Booking.comの被害を公表している企業の事例としては、以下のようなものが挙げられます。

• 御宿 野乃 大阪淀屋橋
• MIMARU SUITES 東京浅草
• グランヴィア大阪
• 相鉄ホテルズ
• ホテル京阪 淀屋橋
• OF HOTEL
• トヨタ白川郷自然學校
• THE GRAND HOTEL GINOWAN
• ランドーホテル
• 目黒ホリックホテル

これらの企業は、Booking.com社の宿泊予約情報管理システムで不正アクセスが発生し、チャット機能を通じてフィッシングメッセージが送信され、いずれも同社の顧客情報の一部が漏えいした可能性があると公表しています。

「Booking.com」を利用していたゲスト側の対処方法

疑わしいメッセージやURLリンクを受け取った、もしくは被害が疑われる場合、Booking.com社や該当宿泊業者の公式な窓口に問い合わせましょう。

またクレジットカード情報の確認手続きを行い、必要に応じて決済を停止することをおすすめします。

「Booking.com」を利用していた宿側の対処方法

Booking.comのシステムに不正アクセスがあった場合、まずはBooking.comのアカウントのパスワードを変更します。また、他のWebサービスやアプリでも、同じパスワードを使っている場合は、変更することをおすすめします。

また漏えいした情報の種類によっては、被害者への対応が必要になる場合があります。

たとえば、どの情報が漏えいしたか、何がアクセスされたかを特定します。これには個人情報、アカウント情報、支払い情報などが含まれます。また漏えいが個人情報の取り扱いに関わる場合、個人情報保護法や関連法規制に従い、適切な通知および対応措置を講じる必要があります。

したがって関係機関と提携し、詳細な調査結果を報告書にまとめ、被害の範囲や原因、対策の実施状況などを、被害者だけでなく、個人情報保護委員会にも適切に報告することが推奨されます。仮に不正アクセスにより企業の信用が損なわれた場合、被害者への誠実な対応や改善策の実施を通じて、社会的信用を回復するための戦略を策定する必要があり、不適切な対応はブランドを毀損する原因となります。

おすすめのフォレンジック調査業者

詳細な調査結果を報告書にまとめる場合、フォレンジック調査が有効です。

フォレンジック調査はデジタルデータから証拠を収集・分析する手法ですが、専門知識が必要なため、外部の専門業者に委託することが推奨されます。これにより、マルウェア感染や不正アクセスを特定し、的確な説明を通じて信用を回復することが可能です。

ただ、フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

まとめ

Booking.comの不正アクセス被害に遭った場合、以下の点に注意しましょう。

• 宿側
  • Booking.comからの情報提供に従う
  • 被害者への対応を行う
  • セキュリティ対策の強化を行う
  • フォレンジック調査を検討する
• ゲスト側
  • クレジットカード情報の再発行を依頼する
  • パスワードの変更を行う
  • 不正利用の監視を行う
  • フィッシング詐欺に注意する