ホテル運営事業を行っているポラリス・ホールディングス株式会社(東京都中央区)のリリースによると、同社が利用しているBooking.comのアカウントが不正アクセスを受け、不正送金が行われ900万円の被害が確認されたということです。また運営している一部ホテルの宿泊予約者に対してフィッシングメッセージが送信されたということです。
依然として送られている宿泊客の苦情を偽装したメール
ちょうど1年前に「Booking.comフィッシング攻撃 偽装CAPTCHでRATに感染させて情報窃取」という記事を配信しました。Booking.comになりすました悪意のあるメールが送信され、それらのメールを受信したホテルや旅館などの担当者が偽のCAPTCH画面に誘導されて指示に従ってファイルをダウンロードするとマルウェアに感染してしまうという事案です。送信された悪意のあるメールには施設の否定的なレビューなどが記載されていて、受け取った担当者にとっては騙されやすい内容です。こうしたメールは現在も出回っているようです。
最近、ネット上に投稿されたサンプルメールは、Booking.comを騙って宿泊客からの苦情を伝える日本語メールで、具体的には「客室内でトコジラミ(南京虫)を発見し、滞在中に娘が数回刺されました。健康上のリスクを懸念し、医療機関での受診を行いました。証拠としてトコジラミの写真も添付いたします。早急な対応を強く要求いたします」との文面とともに、宿泊者に関する情報や苦情にかかる証拠書類がダウンロードできるとするリンクが貼られたものです。このようなメールを受け取った宿泊施設の担当者は思わずさらに具体的な情報を求めてリンクをクリックして書類をダウンロードしようとするに違いありません。その結果、マルウェアに感染し不正アクセスを招く結果になります。業務への誠実さを逆手にシステムに侵入する犯罪です。
ポラリス・ホールディングス株式会社のシステムがどのような手口で不正アクセスを受けたのか同社のリリースは明らかにしていないので、正確には不明ですが、Booking.comになりすました悪意のあるメールが依然として出回っている実態があることを踏まえると、悪意のあるメールによって不正アクセスに至った可能性が高いと思われます。そして同社が運営しているホテルのシステムにおいて、売上金受領口座が第三者の口座に変更され、売掛金の一部がその口座に不正送金されていたということです。リリースによると損失額は900万円だということです。また、運営している一部ホテルの宿泊予約者に対してフィッシングメールの送信も確認されているということです。
今春、宿泊予約データが流出したBooking.com
Booking.comは今年4月、不正な第三者が宿泊予約データにアクセスし宿泊予約者の個人情報が流出したことを明らかにしています。大阪・梅田のホテルでは残室状況に関係なく規定外の料金で客室が多数販売されたり、このホテルを装ったスパムメッセージがBooking.comのメッセージ機能やWhatsAPP等を通じて送信されたということです。このホテルのBooking.comアカウントへの不正アクセスは確認されていないということで、ホテルではBookig.comに対して詳細を確認しているということです。
Booking.comに関しては、Booking.comの本体システムへの攻撃、Booking.comに加盟している宿泊施設のシステムに対する攻撃、Booking.comを利用して宿泊予約をしたユーザーに対する攻撃がそれぞれ行われている実態があり、それらが混在して複雑な様相を呈している印象があります。そして、流出したデータがダークウェブで販売され、それらデータを悪用してさらなるサイバー犯罪が行われてデータがさらに流出、流出したデータがダークウェブで販売されさらなるサイバー犯罪が行われるといった具合にBooking.comをめぐるサイバー犯罪のエコシステムが確立されている印象があります。ダークウェブが生む犯罪の循環の輪を断ち切らない限り、今後も類似のサイバー犯罪が繰り返し行われるのではないかと思います。
【出典】
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.polaris-holdings.com/wp-content/uploads/2026/05/Release_Unauthorized_Access_260528_JP.pdf