予約プラットフォームを揺るがすデータ侵害の波紋
2026年4月、世界有数の旅行予約プラットフォームであるBooking.comが潜在的なデータ侵害を公表し、顧客情報の安全性に対する懸念が急速に高まっています。同社は、不正な第三者が一部のユーザー詳細にアクセスした可能性を認め、その影響は広範囲に及ぶと見られています。マルウェア対策企業Malwarebytesの報道によれば、Booking.comは4月13日には既に顧客に対し、「不正な第三者」がゲストの予約データにアクセスしたことを通知し始めていました。この情報漏洩により、氏名、メールアドレス、住所、電話番号、そして一部のケースでは予約時に共有された限定的な金融データが露呈したとされています。
この事態は、多くのユーザーに詐欺や個人情報盗難の標的となることへの強い不安を抱かせました。特に、英国の複数の顧客からは、情報漏洩に便乗したと見られる不審な活動が報告されています。彼らはTelegramなどのメッセージングプラットフォームを通じて、個人情報の「再確認」やアカウントパスワードのリセットを促す埋め込みリンク付きのメールやメッセージを受け取ったと証言しており、これらは状況を悪用しようとする巧妙なフィッシング詐欺であると広く認識されています。サイバー犯罪者たちは、正規の通信を模倣することで、ユーザーから機密性の高い認証情報を騙し取ろうと企んでいます。
Booking.comは、この事態を受けてセキュリティインフラを強化したと発表しました。同社は、システムの保護と将来的な類似事件の防止のために追加の安全対策を講じたと述べています。また、状況を積極的に監視し、情報漏洩に関連するリスクを最小限に抑えるよう努めていると顧客に保証しています。しかし、この種の侵害は、単なるデータ流出に留まらない深刻な二次被害を引き起こす可能性があり、その影響は長期にわたるかもしれません。
この事件は、サイバー犯罪者がセキュリティの隙をいかに迅速に悪用するかを改めて示すものです。企業が是正措置を講じている間も、ユーザーは常に警戒を怠らず、自身のデジタル資産を守るための基本的な対策を講じることが不可欠です。金融取引の監視、不審なリンクの回避、定期的なパスワード更新といった基本的な行動が、詐欺の被害に遭うリスクを大幅に軽減する上で重要な役割を果たします。
攻撃の巧妙な手口:ホテルパートナーを狙ったサプライチェーン攻撃
今回のBooking.comのデータ侵害は、同社自身のシステムではなく、そのホテルパートナーのシステムが侵害されたことに端を発しているとMalwarebytesは指摘しています。Microsoftの報告書によれば、攻撃者は「ClickFix」と呼ばれるフィッシング技術を悪用しました。この手口では、被害者(この場合はホテル従業員)を騙して、コンピューターの「修正プログラム」と偽装したマルウェアをインストールさせます。これにより、攻撃者はホテルパートナーのシステムに侵入し、Booking.comのゲスト予約データへのアクセス権を獲得したとされています。
この巧妙な攻撃の背後には、「Storm-1865」と呼ばれるサイバー犯罪グループがいるとMicrosoftは特定しています。このグループは、北米、オセアニア、南アジア、東南アジア、ヨーロッパのホテル従業員を標的とした同様のキャンペーンを展開していたことが確認されています。彼らは偽のCAPTCHAページを通じて、XWormやVenomRATといった悪質なマルウェアを展開し、システムの制御を奪い、機密情報を窃取していたと報じられています。この手口は、サプライチェーンの脆弱性を突く典型的なものであり、主要なサービスプロバイダーが直接攻撃されなくとも、そのエコシステム全体が危険に晒されることを示しています。
Booking.comの顧客通知では、流出したデータがフィッシング詐欺に悪用される可能性があると警告されており、同社が機密情報や銀行振込を要求することはないと強調されています。しかし、サイバー犯罪者たちは盗み出した予約データを現金に変えるための確立された手口を持っています。彼らはホテルになりすまして予約をハイジャックし、ゲストにさらなる支払いや「支払い確認」のためのクレジットカード情報の提供を要求します。盗まれたデータは、彼らが正規のホテル担当者であると顧客を信じ込ませるために必要なあらゆる情報を提供します。
この種の詐欺は、被害者が金銭を失うだけでなく、旅行計画が台無しになるなど、精神的にも大きな打撃を与えます。英国のAction Fraudには、2023年6月から2024年9月の間にBooking.comに関連する詐欺が532件報告されており、被害総額は約37万ポンド(約47万ドル)に上るとされています。これは、攻撃者がいかに効果的に盗まれた情報を悪用し、金銭的利益を得ているかを示す具体的な証拠であり、今回の情報漏洩が引き起こすであろう被害の深刻さを物語っています。
予約ハイジャックの脅威と詐欺の手口
今回の情報漏洩で特に懸念されているのが、予約ハイジャックと呼ばれる詐欺の増加です。セキュリティ企業Nortonは、この種の詐欺が潜在的に増加すると予測しています。予約ハイジャックでは、攻撃者は影響を受けたユーザーに接触し、予約に関する支援を装って、割引料金やよりスムーズな予約プロセスを約束することがよくあります。これにより、被害者は偽りの口実のもとで金銭を送金したり、さらなる個人情報を共有したりするよう説得されてしまいます。盗まれた予約データは、詐欺師がホテルを装って顧客に連絡する際に、その信憑性を高める強力な武器となります。
詐欺師は、顧客の氏名、予約日、宿泊施設名といった詳細情報を既に把握しているため、メッセージや電話が非常に本物らしく見えます。例えば、彼らは「システムエラーが発生したため、予約を確保するために追加の支払いが必要だ」と主張したり、「セキュリティ上の理由からクレジットカード情報を再確認してほしい」と要求したりします。これらの要求は、正規のホテルからのものと見分けがつきにくく、特に旅行直前で不安を感じている顧客は、騙されやすい状況に置かれます。
Malwarebytesも、詐欺師が盗まれた予約データを現金に変えるための確立された手口を持っていると警告しています。彼らはホテルになりすまし、ゲストにさらなる支払いや「支払い確認」のためのクレジットカード情報を要求します。この際、盗まれたデータが彼らの正当性を裏付けるため、ホテル顧客は彼らが正規の担当者であると信じ込んでしまいます。このような手口は、過去にもBooking.comの顧客を標的として行われており、その有効性が証明されています。
この種の詐欺から身を守るためには、極めて高い警戒心が必要です。セキュリティ研究者たちは、ユーザーに対し、WhatsApp、Telegram、Signalなどのメッセージングプラットフォームや、一方的に送られてくるメールを通じて銀行情報、パスワード、その他の機密データを共有しないよう強く忠告しています。Booking.comを含む正規のサービスプロバイダーは、これらのチャネルを通じて機密情報を要求することはありません。常に公式のアプリやウェブサイトを通じて予約状況を確認し、不審な連絡があった場合は、直接ホテルに問い合わせることが最も確実な防御策となります。
過去の教訓と繰り返されるパターン
Booking.comがデータ侵害の標的となるのは、今回が初めてではありません。Malwarebytesの報告によれば、同社は過去にも同様の事件に直面しています。2018年には、犯罪者がホテル従業員をフィッシング詐欺にかけ、Booking.comの顧客データにアクセスしました。同年後半には、アラブ首長国連邦の40のホテルを標的としたボイスフィッシングキャンペーンも実施され、4,000人以上の顧客データが盗まれ、その中には300人分のクレジットカード情報も含まれていました。これらの事件は、旅行業界におけるサプライチェーンの脆弱性が以前から存在していたことを明確に示しています。
さらに、Booking.comは2018年の情報漏洩をオランダのプライバシー規制当局への報告が遅れたため、2021年に47万5,000ユーロ(約56万ドル)の罰金を科されています。これは、データ保護規制の遵守がいかに重要であるか、そして情報漏洩が発生した場合の迅速な対応が企業に求められる責任の重さを浮き彫りにするものです。過去の教訓が十分に活かされなかった可能性は、今回の事件の背景にある構造的な問題を示唆しています。
このようなデータ侵害は、旅行業界全体で繰り返されるパターンとなっています。2026年1月には、Eurailがパスポート番号、住所、一部の旅行者についてはIDのコピーや健康データを含む情報漏洩を公表しました。2025年8月には、KLMとエールフランス航空の顧客データが盗まれ、Hertz、Dollar、Thriftyといったレンタカー会社も、Cl0pグループによるCleoファイル転送ソフトウェアの悪用により、運転免許証やクレジットカードデータが窃取される被害に遭いました。これらの事件の興味深い共通点は、Booking.comの今回の件と同様に、旅行会社自体ではなく、第三者のシステムが侵害されたことにあるとMalwarebytesは指摘しています。
旅行業界は、パスポート番号、支払いカード情報、旅程といった膨大な量の機密情報を保有しています。しかし、そのセキュリティ体制は、広範なサプライチェーン、フランチャイズ運営、そして多数の第三者プラットフォームに依存しており、これがサイバー攻撃者にとって格好の標的となっています。過去の事件から得られるべき教訓は、サプライチェーン全体のセキュリティを強化し、パートナー企業との連携を密にすることで、顧客データを多層的に保護する必要があるということです。
Booking.comの対応と専門家からの警告
今回のデータ侵害を受けて、Booking.comは直ちにセキュリティ対策の強化に乗り出したと表明しています。同社は、セキュリティインフラを強化し、システムを保護し、将来的な類似事件を防止するための追加の安全対策を導入したと述べています。また、状況を積極的に監視し、情報漏洩に関連するリスクを最小限に抑えるよう努めていると顧客に保証しています。これらの対応は、企業として当然求められるものであり、顧客の信頼回復に向けた重要な一歩と言えるでしょう。
しかし、サイバーセキュリティの専門家たちは、今回の情報漏洩が引き起こすであろう影響は、初期のデータ露出に留まらない可能性があると警告しています。Nortonは、予約ハイジャックと呼ばれる詐欺の潜在的な増加を予測しており、攻撃者が影響を受けたユーザーに接触し、予約に関する支援を装って、割引料金やよりスムーズな予約プロセスを約束する手口が横行する可能性を指摘しています。これにより、被害者は偽りの口実のもとで金銭を送金したり、さらなる個人情報を共有したりするよう説得される危険性があります。
Malwarebytesもまた、Booking.comの顧客通知が、露出したデータがフィッシングに利用される可能性を警告し、同社が機密情報や銀行振込を要求することはないと強調しているにもかかわらず、詐欺師は盗まれた予約データを現金に変えるための実績ある手口を持っていると指摘しています。彼らはホテルになりすましてゲストに連絡し、さらなる支払いや「支払い確認」のためのクレジットカード情報を要求することで、顧客を騙そうとします。盗まれたデータは、彼らが正規のホテル担当者であると顧客を信じ込ませるために必要な信憑性を与えてしまいます。
このような状況下で、セキュリティ研究者たちはユーザーに対し、自身の保護のための明確なガイダンスを発行しています。顧客は、WhatsApp、Telegram、Signalなどのメッセージングプラットフォームや、一方的に送られてくるメールを通じて銀行情報、パスワード、その他の機密データを共有しないよう強く忠告されています。Booking.comを含む正規のサービスプロバイダーは、これらのチャネルを通じて機密情報を要求することはありません。ユーザーは、金融取引明細を監視し、不審なリンクを避け、定期的にパスワードを更新するなどの基本的な対策を講じることで、このような侵害から生じる詐欺の被害に遭うリスクを軽減することができます。
旅行業界に広がる脆弱なサプライチェーン
今回のBooking.comのデータ侵害は、旅行業界が抱える構造的なセキュリティ課題を改めて浮き彫りにしました。Malwarebytesの分析によれば、旅行業界はパスポート番号、支払いカード情報、詳細な旅程といった極めて機密性の高い顧客データを大量に管理しています。しかし、そのビジネスモデルは、広範なサプライチェーン、多数のフランチャイズ運営、そして多様な第三者プラットフォームに深く依存しており、これがサイバー攻撃者にとって格好の「ソフトターゲット」となっているのです。
この複雑なエコシステムは、セキュリティの観点から見ると、多くの潜在的な弱点を含んでいます。一つのホテルパートナーや第三者ベンダーのシステムが侵害されるだけで、Booking.comのような大手プラットフォームの顧客データが危険に晒される可能性があります。Microsoftが指摘した「ClickFix」フィッシング技術によるホテル従業員のシステム侵害は、まさにこのサプライチェーンの脆弱性を悪用した典型的な事例です。攻撃者は、最も弱いリンクを見つけ出し、そこから全体システムへの侵入経路を確立することに成功しました。
過去の事例を見ても、この問題は一貫して旅行業界全体に影響を及ぼしています。2026年1月のEurailの侵害、2025年8月のKLMとエールフランス航空のデータ流出、そしてCl0pグループによるCleoファイル転送ソフトウェアの悪用で被害を受けたHertz、Dollar、Thriftyといったレンタカー会社の事例は、いずれも第三者のシステムが侵害された結果として顧客データが流出したものです。これらの事件は、旅行業界の企業が自社システムだけでなく、パートナー企業やベンダーのセキュリティ体制にも責任を持つ必要があることを強く示唆しています。
サプライチェーン全体のセキュリティを強化するためには、単に契約上の義務を課すだけでなく、パートナー企業との継続的なセキュリティ評価、情報共有、そして共同での脅威対策が不可欠です。また、従業員に対する定期的なセキュリティ意識向上トレーニング、特にフィッシング攻撃の手口に関する教育は、今回の「ClickFix」のような巧妙なソーシャルエンジニアリング攻撃に対する防御の最前線となります。旅行業界がその信頼性を維持するためには、この広範なサプライチェーン全体にわたるセキュリティ文化の醸成が喫緊の課題と言えるでしょう。
ユーザーが取るべき自己防衛策
Booking.comの今回の情報漏洩は、旅行を計画している、あるいは既に予約済みのユーザーに対し、自身のデジタルセキュリティに対する意識を一層高めるよう促しています。Malwarebytesは、Booking.comが影響を受けた顧客数を公表していないことに懸念を示しており、これはプラットフォームの巨大さを考慮すると、潜在的な被害規模が計り知れないことを意味します。このような状況下で、ユーザーは自らの情報を守るための具体的な行動を取る必要があります。
まず最も重要なのは、支払い詳細の「確認」を求めるメッセージを安易に信用しないことです。たとえそれがBooking.comのプラットフォーム内から届いたように見えても、警戒が必要です。Booking.com自身も、今回の事件以前から、事前の支払いポリシーやデポジットの要件が明記されていないにもかかわらず、予約を確保するために前払いを求められた場合は詐欺である可能性が高いと警告していました。常に予約確認メールで実際に支払うべき金額と時期を確認し、不審な点があれば、メッセージで送られてきたリンクではなく、宿泊施設に直接連絡を取ることが鉄則です。
次に、銀行口座の明細を注意深く監視することが不可欠です。詐欺師は、盗んだデータをすぐに悪用するとは限りません。数週間、あるいは数ヶ月後に不正な請求が発生する可能性もあります。定期的に明細を確認し、身に覚えのない取引がないかをチェックすることで、被害を早期に発見し、拡大を防ぐことができます。また、パスワードの使い回しをやめ、Booking.comを含む重要なアカウントには強力でユニークなパスワードを設定し、可能であれば二要素認証(MFA)を有効にすることも強く推奨されます。
さらに、セキュリティ専門家は、WhatsApp、Telegram、Signalなどのメッセージングアプリや、一方的に送られてくるメールを通じて、銀行情報、パスワード、その他の機密データを共有しないよう繰り返し警告しています。正規のサービスプロバイダーは、これらのチャネルを通じて機密情報を要求することはありません。Malwarebytesは、疑わしいリンク、テキスト、スクリーンショットを即座に分析できる「Malwarebytes Scam Guard」のようなツールを利用することも有効な自己防衛策として挙げています。常に「クリックする前に確認する」という意識を持つことが、サイバー犯罪の巧妙な罠から身を守るための鍵となります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Booking dot com data breach customers fall prey to Reservation Hijacks - https://www.cybersecurity-insiders.com/booking-dot-com-data-breach-customers-fall-prey-to-reservation-hijacks/
- -Booking.com breach gives scammers what they need to target guests | Malwarebytes - https://www.malwarebytes.com/blog/data-breaches/2026/04/booking-com-breach-gives-scammers-what-they-need-to-target-guests