宿泊施設「ホテルグレイスリー浅草」で、予約利用者の個人情報が外部に流出した可能性が判明している。
今回の問題は、同施設を予約できる海外オンライン予約サイトが不正アクセスを受け、利用者に対して偽のウェブサイトへ誘導する通知が送られたことが発端となった。
偽装したサイトで情報を詐取する「フィッシングサイト」に誘導するもので、利用者からの問い合わせにより異常が把握された。
調査の結果、この海外予約サイトに保存されていた予約情報に不正ログインが行われ、ホテルグレイスリー浅草を予約した利用者情報が閲覧される状態になっていたことが確認された。
影響対象とされているのは、2024年11月19日から2025年11月20日までの期間に同予約サイトを経由して宿泊を申し込んだ利用者で、氏名、電話番号、予約日、予約番号、住所、メールアドレス、クレジットカード情報、支払い情報、国籍といった情報だった。
公表時点で金銭被害は確認されていないものの、詳細に関する調査が継続している。
攻撃者が実行したと推定される行動
・海外オンライン予約サイトへの不正アクセス
攻撃者は、ホテルグレイスリー浅草の予約に利用されていた「海外オンライン予約サイト」に対して不正アクセスを実施し、アカウントへの不正ログインを成功させた。
これにより、予約データを参照できる状態を作り出した。
・予約利用者の個人情報を閲覧・取得
不正ログイン後、氏名、電話番号、予約日、予約番号などの基本情報が漏えいしたとされている。
また、一部利用者については住所、メールアドレス、クレジットカード情報、支払い情報、国籍など、より詳細な情報が閲覧可能になっていた可能性がある。
・フィッシングサイトを利用した誘導行為
攻撃者は「フィッシングサイト(実在のウェブサイトに偽装して個人情報を詐取する偽サイト)」を用意したうえで、予約利用者に対して通知を送り、偽サイトへアクセスさせようとした。
これにより、利用者の情報や決済情報を追加で詐取することが狙われたとみられる。
・正規の予約通知を悪用した信頼性の偽装
正規の予約サイト経由で宿泊予約をした利用者に向けて通知が送られたため、利用者が本物の連絡だと誤認しやすい状況が作られていた。
攻撃者の目的は、フィッシングサイト経由でのさらなる情報詐取と考えられる。
対応と対策
同社は事案判明後、ログインパスワードの変更やパソコンのセキュリティ確認など初期対応を実施。
対象となる利用者へ順次説明と謝罪の連絡を取り、個人情報保護委員会への報告も完了したとしている。
また利用者に対しては、不審なメッセージを受け取った際には記載されたリンクにアクセスしないよう注意を促しており、予約確認書に記載されている支払い方法と異なる請求があった場合には、速やかに同社窓口へ連絡するよう呼びかけている。
対策として、今後は従業員教育の強化や日次でのパスワード更新などの運用改善を継続。
関係機関と連携しながら原因解明と再発防止に取り組む方針とのこと。
藤田観光社は「利用者および関係者に多大な心配と迷惑をかけたことを深くお詫びする」とコメントしている。