2023年6月以降、Booking.comにおけるフィッシング詐欺が深刻化しています。2024年8月にも被害が増えていると報道が増えています。

これは通常のフィッシングメールとは異なり、不正アクセスされた公式サイトを経由して被害者がフィッシングサイトに誘導されるという手口で、多くの被害が発生しています。特に被害に遭った企業は侵入経路や漏えいデータの調査が不可欠です。

そこで本記事では、その概要とBooking.comにおける不正アクセスの事例を詳しく紹介していきます。

「Booking.com」を経由したフィッシング詐欺被害とは

最近、オランダの宿泊管理サービスである「Booking.com」において、国内のホテルが不正アクセスによる被害に見舞われています。この被害により、ホテル等の宿泊施設のパソコン端末がハッキングされ、予約客のクレジットカード情報が盗まれるという深刻な問題が発生しています。

不正アクセスの手口は非常に巧妙で、Booking.comの公式チャット機能を悪用し、第三者が不審なメッセージやメールを送信することで行われます。具体的な流れは次のとおりです。

1. 公式メールアドレスから「ホテルからメッセージが来ている」旨のメールが届く。
2. 公式HP専用のメッセージにて、クレジットカードの支払いがうまくできていない旨のメッセージが届く。
3. クレジットカードの確認と認証を求める文章とQRコードが添付され、偽サイトの入力画面に誘導される。

被害は2023年6月以降、日本国内で相次いでおり、2024年4月時点で100以上の宿泊施設が被害を公表しています。

Booking.comを運営する企業は、被害が世界的な規模で広がっていることを認め、盗まれた情報が不正決済に使用された可能性も指摘し、被害にあった顧客らへの対応に努めていると述べています。

出典「Booking.com」

宿泊施設を利用した詐欺の手口

宿泊施設を利用した詐欺の手口は、Booking.comを経由した不正アクセス、ゲストユーザーにフィッシング詐欺を行う段階に分かれているので解説します。

宿泊施設のBooking.comアカウントへの不正アクセス

Booking.comは、ホテルの予約情報や顧客情報を管理するためのシステムを提供しています。このシステムに不正アクセスされると、顧客の氏名、住所、電話番号、クレジットカード情報などが漏えいする可能性があります。

不正アクセスの原因としては、ホテルの管理システムの脆弱性や、ホテルの従業員の不注意によるマルウェア感染などが考えられます。

宿泊施設が利用している予約管理システムBooking.comに不正アクセスするための主な３つの手口を紹介します。

不正アクセスするための主な３つの手口

• システムの脆弱性を狙う
• マルウェアを利用する
• フィッシングで認証情報を狙う

宿泊施設のシステムの脆弱性を狙って不正アクセスを行う、情報窃取型のマルウェアに感染させることでBooking.comのID、パスワードを盗み出すなどの手口の他にも、フィッシングメールなどでBooking.comに酷似した偽サイトのURLを添付し、ログイン入力フォームでID、パスワードを入力させて盗み出すなどして宿泊施設のBooking.comアカウントに不正アクセスを狙います。

また、Booking.comのメッセージ機能を利用したフィッシングで、マルウェアを感染させる手口も報告されているので紹介します。

Booking.comを利用した不正アクセス方法

1. 攻撃者がBooking.comでホテルに宿泊予約
2. 攻撃者がホテルにマルウェアを添付したメッセージをBooking.comで送信
3. ホテル端末がメッセージに添付されたマルウェアに感染
4. 攻撃者がマルウェアを通じて認証情報を獲得
5. 攻撃者がホテルのBooking.comに不正アクセス

このように宿泊施設に悟られないように、段階を踏んで不正アクセスが行われます。

マルウェア、ウイルスにメッセージを開いたときに感染するかについては下記にで詳しく解説しています。

怪しいメールを開いただけでウイルス感染する？手口や対処法を解説

ゲストユーザーにフィッシング詐欺を行う

攻撃者は、不正アクセスしたBooking.comのチャット機能やメール送信機能を悪用し、ゲストユーザーを偽サイトに誘導するURLを送ります。

その偽サイトでは、クレジットカードなどの個人情報を求められるので、もしリンク先を開いてしまった場合、クレジットカードなどの個人情報は絶対に入力しないようにしてください。

ゲストユーザーは、こうした被害に遭わないよう、メールやメッセージに記載されている内容が、実際にBooking.comから送信されたものであるかどうかをBooking.comの公式Webサイトや宿泊業者側に確認する必要があります。

「Booking.com」でフィッシング詐欺被害に遭ってしまったらどうなるか

「Booking.com」でフィッシング詐欺被害に遭った場合、次のような被害が想定されます。

• クレジットカード情報の漏洩
• 個人情報の漏洩
• アカウントの乗っ取り

クレジットカード情報や個人情報が流出すると、悪意のある第三者によって不正利用やなりすましの被害に遭う可能性が高まります。

具体的には、流出したクレジットカード情報でネットショッピングやサービス利用が行われたり、個人情報で本人になりすまされ金融機関への連絡などが不正に行われたりするリスクがあります。

また、アカウントが乗っ取られると、様々なサービスの予約のキャンセルや変更、さらには不正な予約が行われる可能性も考えられます。

フィッシング詐欺でメールを開いてしまったときの対処法

宿泊施設が不正アクセスを受けているか確認する方法

Booking.comを利用している宿泊施設では、不正アクセスされている可能性があります。ここでは不正アクセスされているか確認する方法について紹介します。

ログの確認

システムやアプリケーションのログを確認することで、不正アクセスの痕跡を探すことができます。ログには、不正アクセスの試みや成功したアクセスの記録が残されています。

ログには、以下の情報が記録されています。

• アクセス日時
• アクセス元IPアドレス
• アクセスしたユーザー
• アクセスしたリソース

ログは、システムやアプリケーションの管理画面や、ログ管理ツールを使用して確認することができます。このとき、ログ管理ツールを使用すると、ログの収集、分析、レポート作成を自動化することができます。

不正アクセスの痕跡が見つかった場合は、被害の拡大を防ぐために、迅速に適切な対応を実施します。

アカウントアクセスの監視

アカウントアクセスの監視は、不正アクセスの試みや成功したアクセスを早期に発見するために有効な方法です。同じアカウントから異常に頻繁なログイン試行がある場合、これが不正アクセスの兆候となります。

通知や警告の確認

セキュリティソフトやセキュリティサービスから通知や警告が届いていないかを確認することも重要です。

• 「お使いのデバイスで、不審なアクティビティが検出されました。」
• 「外部からの不正アクセスが試みられています。」
• 「マルウェア感染の可能性があります。」
• 「個人情報が漏洩する恐れがあります。」
• 「パスワードが漏洩している可能性があります。」
• 「フィッシングサイトへのアクセスが検出されました。」

このような警告がセキュリティサービスから届いている場合は、不正アクセスの疑いがあるのですぐに調査する必要があります。これにより、早期にセキュリティインシデントに気付き、対処することが可能です。

不正アクセスされたら？被害の確認方法と安全な対処【相談窓口あり】

自社で調査が難しい場合、フォレンジック調査会社に依頼

不正アクセスによる情報漏えい被害が発生した場合、個人情報保護委員会への報告が必要です。しかし、デジタルデータは改ざんが容易なため、一般的な方法では証拠として機能しません。

このような場合、不正アクセス調査が有効です。不正アクセス調査の専門会社では、端末やネットワークのログ、漏えいデータの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。また証拠が隠滅された場合でも、早期に対応すれば復元できる可能性が高いです。

ただし、会社によって調査能力やスピード、料金に差があり、対応範囲も異なります。不正アクセス・情報漏えいの発覚時には、技術力のある調査会社に調査を依頼し、信頼性の高い結果を得ることが重要です。

おすすめのフォレンジック調査業者

詳細な調査結果を報告書にまとめる場合、フォレンジック調査が有効です。

フォレンジック調査はデジタルデータから証拠を収集・分析する手法ですが、専門知識が必要なため、外部の専門業者に委託することが推奨されます。これにより、マルウェア感染や不正アクセスを特定し、的確な説明を通じて信用を回復することが可能です。

ただ、フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

「Booking.com」被害を公表している企業事例

Booking.comの被害を公表している企業は国内で100以上という報道もあり、事例としては、以下のようなものが挙げられます。

Booking.comの被害を公表した宿泊施設

• 御宿 野乃 大阪淀屋橋
• MIMARU SUITES 東京浅草
• グランヴィア大阪

出典：日経XTECH

• ホテル京阪淀屋橋　　　　　　　　公式サイト：ホテル京阪 淀屋橋
• トヨタ白川郷自然學校　　　　　　公式サイト：トヨタ白川郷自然學校
• THE GRAND HOTEL GINOWAN　公式サイト：THE GRAND HOTEL GINOWAN
• ランドーホテル　　　　　　　　　公式サイト：ランドーホテル
• 目黒ホリックホテル　　　　　　　公式サイト：目黒ホリックホテル

2024年8月以降

• WeBase　博多
• ホテルリソル京都四条室町
• 天然温泉幸鐘の湯　ドーミーイン東室蘭
• ベストウェスタン　沖縄幸喜ビーチ
• ラビスタ霧島ヒルズ

出典：日経XTECH

これらの企業は、Booking.com社の宿泊予約情報管理システムで不正アクセスが発生し、チャット機能を通じてフィッシングメッセージが送信され、いずれも同社の顧客情報の一部が漏えいした可能性があると公表しています。

「Booking.com」を利用していたゲスト側の対処方法

疑わしいメッセージやURLリンクを受け取った、もしくは被害が疑われる場合、Booking.com社や該当宿泊業者の公式な窓口に問い合わせましょう。

【booking.comの公式カスタマーサービス】

またクレジットカード情報の確認手続きを行い、必要に応じて決済を停止することをおすすめします。

「Booking.com」を利用していた宿側の対処方法

Booking.comのシステムに不正アクセスがあった場合、まずはBooking.comのアカウントのパスワードを変更します。また、他のWebサービスやアプリでも、同じパスワードを使っている場合は、変更することをおすすめします。

また漏えいした情報の種類によっては、被害者への対応が必要になる場合があります。

たとえば、どの情報が漏えいしたか、何がアクセスされたかを特定します。これには個人情報、アカウント情報、支払い情報などが含まれます。また漏えいが個人情報の取り扱いに関わる場合、個人情報保護法や関連法規制に従い、適切な通知および対応措置を講じる必要があります。

したがって関係機関と提携し、詳細な調査結果を報告書にまとめ、被害の範囲や原因、対策の実施状況などを、被害者だけでなく、個人情報保護委員会にも適切に報告することが推奨されます。仮に不正アクセスにより企業の信用が損なわれた場合、被害者への誠実な対応や改善策の実施を通じて、社会的信用を回復するための戦略を策定する必要があり、不適切な対応はブランドを毀損する原因となります。

まとめ

Booking.comの不正アクセス被害に遭った場合、以下の点に注意しましょう。

• 宿側
  • Booking.comからの情報提供に従う
  • 被害者への対応を行う
  • セキュリティ対策の強化を行う
  • フォレンジック調査を検討する
• ゲスト側
  • クレジットカード情報の再発行を依頼する
  • パスワードの変更を行う
  • 不正利用の監視を行う
  • フィッシング詐欺に注意する