![](https://cybersecurity-jp.com/contents/data-security/wp-content/uploads/sites/3/2024/03/Slide15.jpg)
2023年6月以降、Booking.comにおけるフィッシング詐欺が深刻化しています。
これは通常のフィッシングメールとは異なり、不正アクセスされた公式サイトを経由して被害者がフィッシングサイトに誘導されるという手口で、多くの被害が発生しています。特に被害に遭った企業は侵入経路や漏えいデータの調査が不可欠です。
そこで本記事では、その概要とBooking.comにおける不正アクセスの事例を詳しく紹介していきます。
目次
「Booking.com」を経由した不正アクセス被害とは
最近、オランダの宿泊管理サービスである「Booking.com」において、国内のホテルが不正アクセスによる被害に見舞われています。この被害により、ホテル等の宿泊施設のパソコン端末がハッキングされ、予約客のクレジットカード情報が盗まれるという深刻な問題が発生しています。
不正アクセスの手口は非常に巧妙で、Booking.comの公式チャット機能を悪用し、第三者が不審なメッセージやメールを送信することで行われます。具体的な流れは次のとおりです。
- 公式メールアドレスから「ホテルからメッセージが来ている」旨のメールが届く。
- 公式HP専用のメッセージにて、クレジットカードの支払いがうまくできていない旨のメッセージが届く。
- クレジットカードの確認と認証を求める文章とQRコードが添付され、偽サイトの入力画面に誘導される。
被害は2023年5月以降、日本国内で相次いでおり、11月時点で少なくとも68の宿泊施設が被害を公表しています。Booking.comを運営する企業は、被害が世界的な規模で広がっていることを認め、盗まれた情報が不正決済に使用された可能性も指摘し、被害にあった顧客らへの対応に努めていると述べています。
参考:観光庁
「Booking.com」で不正アクセス被害に遭ってしまったらどうなるか
「Booking.com」で不正アクセス被害に遭った場合、次のような被害が想定されます。
- クレジットカード情報の漏洩
- 個人情報の漏洩
- アカウントの乗っ取り
クレジットカード情報の漏洩
クレジットカード情報が漏洩した場合、不正利用される可能性があります。
不正利用された場合、すぐにクレジットカード会社に連絡しましょう。
個人情報の漏洩
氏名、住所、電話番号などの個人情報が漏えいした場合、攻撃者は、被害者の個人情報をもとに、偽のメールやメッセージを第三者に送り、個人情報を盗もうとする恐れがあります。
アカウントの乗っ取り
被害者のアカウントが乗っ取られた場合、攻撃者は被害者の名義で他のアカウントにログインしたり、被害者の友人や知人に不審なメールやメッセージを送ったりすることがあります。
Booking.comを経由した不正アクセスの手口
Booking.comを経由した不正アクセスの手口は次のとおりです。
宿泊施設側をだます手口
Booking.comは、ホテルの予約情報や顧客情報を管理するためのシステムを提供しています。このシステムに不正アクセスされると、顧客の氏名、住所、電話番号、クレジットカード情報などが漏えいする可能性があります。
不正アクセスの原因としては、ホテルの管理システムの脆弱性や、ホテルの従業員の不注意によるマルウェア感染などが考えられます。
ゲストユーザーをだます手口
攻撃者は、漏えいしたBooking.comのチャット機能やメール送信機能を悪用し、ゲストユーザーを偽サイトに誘導した上で、クレジットカードの認証を求める手口も使っています。もしリンク先を開いてしまった場合、クレジットカードなどの個人情報は絶対に入力しないようにしてください。
ゲストユーザーは、こうした被害に遭わないよう、メールやメッセージに記載されている内容が、実際にBooking.comから送信されたものであるかどうかをBooking.comの公式Webサイトや宿泊業者側に確認する必要があります。
「Booking.com」被害を公表している企業事例
Booking.comの被害を公表している企業の事例としては、以下のようなものが挙げられます。
- 御宿 野乃 大阪淀屋橋
- MIMARU SUITES 東京浅草
- グランヴィア大阪
- 相鉄ホテルズ
- ホテル京阪 淀屋橋
- OF HOTEL
- トヨタ白川郷自然學校
- THE GRAND HOTEL GINOWAN
- ランドーホテル
- 目黒ホリックホテル
これらの企業は、Booking.com社の宿泊予約情報管理システムで不正アクセスが発生し、チャット機能を通じてフィッシングメッセージが送信され、いずれも同社の顧客情報の一部が漏えいした可能性があると公表しています。
「Booking.com」を利用していたゲスト側の対処方法
疑わしいメッセージやURLリンクを受け取った、もしくは被害が疑われる場合、Booking.com社や該当宿泊業者の公式な窓口に問い合わせましょう。
またクレジットカード情報の確認手続きを行い、必要に応じて決済を停止することをおすすめします。
「Booking.com」を利用していた宿側の対処方法
Booking.comのシステムに不正アクセスがあった場合、まずはBooking.comのアカウントのパスワードを変更します。また、他のWebサービスやアプリでも、同じパスワードを使っている場合は、変更することをおすすめします。
また漏えいした情報の種類によっては、被害者への対応が必要になる場合があります。
たとえば、どの情報が漏えいしたか、何がアクセスされたかを特定します。これには個人情報、アカウント情報、支払い情報などが含まれます。また漏えいが個人情報の取り扱いに関わる場合、個人情報保護法や関連法規制に従い、適切な通知および対応措置を講じる必要があります。
したがって関係機関と提携し、詳細な調査結果を報告書にまとめ、被害の範囲や原因、対策の実施状況などを、被害者だけでなく、個人情報保護委員会にも適切に報告することが推奨されます。仮に不正アクセスにより企業の信用が損なわれた場合、被害者への誠実な対応や改善策の実施を通じて、社会的信用を回復するための戦略を策定する必要があり、不適切な対応はブランドを毀損する原因となります。
おすすめのフォレンジック調査業者
詳細な調査結果を報告書にまとめる場合、フォレンジック調査が有効です。
フォレンジック調査はデジタルデータから証拠を収集・分析する手法ですが、専門知識が必要なため、外部の専門業者に委託することが推奨されます。これにより、マルウェア感染や不正アクセスを特定し、的確な説明を通じて信用を回復することが可能です。
ただ、フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
Booking.comの不正アクセス被害に遭った場合、以下の点に注意しましょう。
- 宿側
- Booking.comからの情報提供に従う
- 被害者への対応を行う
- セキュリティ対策の強化を行う
- フォレンジック調査を検討する
- ゲスト側
- クレジットカード情報の再発行を依頼する
- パスワードの変更を行う
- 不正利用の監視を行う
- フィッシング詐欺に注意する