京都センチュリーホテル(京都市)は2026年5月21日、宿泊予約サイト「Booking.com」上の同ホテルのアカウントが第三者による不正アクセスを受けた可能性があると発表した。同サイト経由で予約した一部の宿泊客に、フィッシングサイトへ誘導する不審なメッセージが配信されたことを確認したとしている。原因や被害規模は調査中だ。
3行要約
見出し
・Booking.com上のホテルアカウントが第三者による不正アクセスを受けた可能性
・同サイト経由で予約した一部宿泊客にフィッシングサイトへ誘導するメッセージが配信
・Booking.com社および関係機関と連携して原因と再発防止策を調査中
わかっていること/わかっていないこと
わかっていること
・不正アクセスの対象はBooking.comの宿泊予約情報管理システム上にある京都センチュリーホテルのアカウント
・配信されたメッセージは個人情報を詐取する目的の偽サイト誘導型
・影響対象はBooking.com経由で同ホテルを予約した一部の利用者
・現在もBooking.com社および関係機関と連携して調査が続いている
わかっていないこと
・不正アクセスの侵入経路や手口
・アカウントが侵害された時期
・配信されたフィッシングメッセージの件数や対象者の規模
・実際に個人情報や決済情報が詐取された被害の有無
・関係機関への通報の時期や有無
事象の概要
同ホテルの発表によると、Booking.com社が提供する宿泊予約情報管理システム上で、同ホテルのアカウントが第三者により不正にアクセスされた可能性が判明した。調査の結果、同サイト経由で予約した一部利用者に対し、フィッシングサイトへ誘導する不審なメッセージが配信されていたことを確認したという。
同ホテルは「個人情報等の詐取を目的とした、フィッシングサイト(偽サイト)へ誘導するメッセージの配信」を確認したと説明している。配信されたメッセージの本文や偽サイトのURL、件数などの具体的な内容は公表されていない。
利用者への注意喚起
同ホテルは、不審なメッセージを受信した宿泊客に対し、文中に記載されたURLリンクには絶対にアクセスしないよう呼びかけている。
不審なメッセージを受信された場合は、メッセージに添付されているURLリンクへは絶対にアクセスしないようお願い申し上げます。(同ホテルの発表より)
現在の対応状況
不正アクセスの原因や詳細について、同ホテルは現在Booking.com社および関係機関と連携して調査を進めているとしている。事実関係が判明し次第、必要な対策を講じ、再発防止に取り組む方針だ。
現時点で個人情報や決済情報が実際に詐取されたかどうかは確認の途上にあり、被害規模の発表は行われていない。
背景 ― Booking.com悪用のフィッシング攻撃
Booking.comを介した宿泊予約に関連するフィッシング攻撃は、近年国内外で複数の報告がある。攻撃者は宿泊施設側のアカウントを乗っ取り、正規の予約管理機能を使って利用者にメッセージを送ることで、本物の予約に紐づいた信頼性の高い偽連絡を装う手口が知られている。
こうしたケースでは、利用者がメッセージ内のリンク先で支払い情報を入力させられるなど、決済情報の詐取につながる被害が懸念される。今回の事案も、同社経由で予約した利用者へのメッセージ配信を伴う点で、同種の手口と共通する特徴を備えている。
タイムライン
発生日:不明(調査中)
検知:時期は公表されていない
公表:2026年5月21日(京都センチュリーホテルがウェブサイトでお詫びと注意喚起を掲示)
関係機関への通報:有無・時期とも公表されていない
原因究明:Booking.com社および関係機関と連携して継続中