セキュリティニュース

ダイワロイネットホテルズ Booking.com管理システムに不正アクセス 個人情報流出の可能性 フィッシング詐欺も

大和ハウスリアルティマネジメントとダイワロイネットホテルズは31日、両社が運営するダイワロイネットホテルズで利用しているBooking.com社の宿泊予約情報管理システムのアカウントが第三者による不正アクセスを受け、予約客の個人情報が流出した可能性があると発表した。また、名古屋新幹線口、京都テラス八条PREMIER、仙台西口PREMIERの3ホテルを予約した一部顧客に対し、WhatsApp等でクレジットカード情報を詐取するフィッシングサイトへ誘導するメッセージが配信された可能性があるという。今後、他のホテルの予約客にも同様のメッセージが送信される可能性があるとして注意を呼びかけている。

不正アクセスによる個人情報流出の可能性とフィッシングサイトに誘導するメッセージの配信について|大和ハウスリアルティマネジメント株式会社・ダイワロイネットホテルズ株式会社より引用

Booking.com管理システムで不正アクセス

両社によると、ダイワロイネットホテルズで利用しているBooking.com社が提供する宿泊予約情報管理システム上のアカウントが外部の第三者による不正アクセスを受けた。予約客の情報(個人情報を含む)が流出した可能性があるという。

Booking.comは世界最大級のオンライン宿泊予約サイトで、多くのホテルが予約管理システムとして利用している。宿泊施設側は専用のアカウントで管理システムにアクセスし、予約情報の確認や顧客対応を行う仕組みだ。

3ホテルでフィッシング詐欺被害

不正アクセスに伴い、ダイワロイネットホテル名古屋新幹線口、ダイワロイネットホテル京都テラス八条PREMIER、ダイワロイネットホテル仙台西口PREMIERを予約した一部顧客に対して、WhatsApp等でクレジットカード情報を詐取するためのフィッシングサイトへ誘導するメッセージが配信された可能性があることを確認したという。

フィッシングサイトとは、実在のウェブサイトを装った偽のサイトで、不正な手法で個人情報やクレジットカード番号等を詐取する。今回のケースでは、正規の予約確認を装ったメッセージから偽サイトへ誘導し、カード情報を入力させようとしたとみられる。

他のホテルにも被害拡大の可能性

両社は、詳細についてBooking.com社と連携して調査を行っているとした上で、今後、上記3ホテル以外のホテルも含めて、予約客に同様のメッセージが送信される可能性があるとしている。

ダイワロイネットホテルズは全国に約40施設を展開している。不正アクセスを受けたのは両社のアカウントであるため、全施設の予約情報が影響を受けた可能性がある。

正規の連絡方法を明示

両社は、予約客に対してWhatsAppの他、メールや宿泊予約サイト上のチャットを用いてクレジットカード情報を求めたり、支払いを催促したりすることは行っていないと明言した。

予約客が上記のような内容のメッセージ等を受け取った場合には、メッセージに含まれるファイルやリンクへは不用意にアクセスせず、内容に心当たりの無い場合はBooking.com社または両社へ問い合わせるよう求めている。

全施設でパスワード変更を実施

両社は、フィッシングサイトへの誘導メッセージが配信される可能性のある顧客に対して注意喚起のメッセージを配信するとともに、ダイワロイネットホテル全施設においてBooking.comのログインパスワードを変更する対応等を行っているという。

パスワード変更は不正アクセスへの基本的な対応だ。攻撃者が入手したアカウント情報を無効化し、継続的な不正アクセスを防ぐ効果がある。

Booking.com経由の攻撃手口

今回の事案は、宿泊施設のBooking.com管理アカウントが乗っ取られ、予約客情報を窃取した上で、予約客を装ったフィッシング詐欺を仕掛けるという巧妙な手口だ。予約客からすれば、実際に予約したホテルから連絡が来ているように見えるため、信頼して偽サイトにアクセスしてしまうリスクが高い。

Booking.comのシステムには予約客の氏名、連絡先、予約内容などの情報が保存されている。攻撃者はこれらの情報を使って、予約確認や支払い手続きを装った説得力のあるメッセージを作成できる。

WhatsAppを使った詐欺の増加

今回、WhatsAppがメッセージ送信に使われた点も注目される。WhatsAppは世界中で広く使われているメッセージアプリで、近年、詐欺に悪用されるケースが増えている。

通常のメールよりもカジュアルで信頼されやすい印象があり、また、企業からの公式連絡にも使われることがあるため、利用者が警戒心を持ちにくい。今回のように予約客の電話番号が流出すれば、WhatsAppでの連絡が可能になる。

宿泊予約サイトを狙う攻撃

宿泊予約サイトや旅行サイトは、顧客の個人情報と決済情報の両方を扱うため、攻撃者にとって魅力的な標的となる。特に宿泊施設側の管理アカウントを乗っ取ることで、多数の予約客情報に一度にアクセスできる。

2024年から2025年にかけても、海外の宿泊予約サイトで同様の手口による被害が複数報告されている。宿泊施設側のアカウントセキュリティが不十分な場合、攻撃者に狙われやすい。

年末年始のタイミング

今回の公表は12月31日、つまり年末の時期に行われている。不正アクセス自体がいつ発生したかは明らかにされていないが、年末年始は多くの人が旅行を計画し、宿泊予約が増える時期だ。この時期を狙った攻撃の可能性もある。

また、年末年始は企業のセキュリティ担当者が不在となり、対応が遅れがちな時期でもある。攻撃者はこうした時期を狙って攻撃を仕掛けることが多い。

顧客の対応方法

ダイワロイネットホテルズを予約した顧客は、今後WhatsAppやメール、チャットで不審なメッセージを受け取る可能性がある。特にクレジットカード情報の入力を求められたり、支払いを催促されたりした場合は、詐欺の可能性が高い。

メッセージに含まれるリンクをクリックする前に、URLを慎重に確認する必要がある。また、疑わしい場合は、メッセージに返信するのではなく、ホテルの公式サイトから直接連絡を取ることが推奨される。

宿泊施設のセキュリティ課題

今回の事案は、宿泊施設がオンライン予約システムを利用する際のセキュリティリスクを浮き彫りにした。多くの宿泊施設が複数の予約サイトと連携しており、それぞれのシステムにアカウントを持つ。

これらのアカウントのセキュリティが不十分な場合、攻撃者の侵入を許し、顧客情報の流出につながる。宿泊施設には、強固なパスワード管理、多要素認証の導入、定期的なアクセス履歴の確認などが求められる。

今後の調査と報告

両社は、その他の詳細についてはBooking.com社を含めた調査が完了次第、改めて案内するとしている。被害の全容、流出した情報の詳細、影響を受けた顧客数などが明らかになる見込みだ。

Booking.com側のシステムに脆弱性があったのか、それともダイワロイネットホテルズ側のアカウント管理に問題があったのかも、今後の調査で明らかになると考えられる。

ダイワロイネットホテルズについて

ダイワロイネットホテルズは、大和ハウスリアルティマネジメントとダイワロイネットホテルズが運営するビジネスホテルチェーンだ。全国の主要都市に約40施設を展開しており、ビジネス客や観光客に利用されている。

大和ハウスグループの一員として、安定したサービスを提供してきたが、今回のセキュリティインシデントは顧客の信頼に影響を与える可能性がある。適切な情報開示と再発防止策の実施が求められる。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,