本文へ移動

雑記帳

雑記帳

宿泊施設から予約情報盗みフィッシングメール「見分け困難」

 令和5年6月以降、大手旅行予約サイト「ブッキング・ドットコム」(オランダ)や「エクスペディア」(アメリカ)が不正アクセスの被害を受け、提携する宿泊施設の顧客情報が流出する事件が発生していました。
 その当時、メールは英語表記でした。

 今年に入ってから、日本国内でも宿泊施設を装ったフィッシングメールが送付され、予約客らがクレジットカード番号などを入力してしまったという被害が出ているそうです。日本語です。

 犯人グループは、予約した客を名乗ってメールを宿泊施設に送付し、ホテルや旅館等の宿泊施設がメールに添付されたファイルを開くとパソコンがマルウエアに感染してしまいます。
 犯人グループは、宿泊施設のアカウント情報を入手して管理システムに不正アクセスし、顧客情報を盗みます。
犯人グループは、次に宿泊施設になりすまし、盗んだ顧客情報をもとに予約客らにメールを送ります。
 宿泊代の即時支払いを求めるか、あるいは、確認のためと称して、クレジットカード情報などの入力を促します。
 「24時間以内に入力しなければ」「予約がキャンセルになる」といった内容です。
 支払いをしようとメールのリンク先に移動すると偽サイトにつながり、クレジットカード情報などの入力をさせられると、不正利用の雨嵐ということになります。

 フィッシングメールの見分け方は「24時間以内に入力しなければ」と促すことにあります。来期のサイトでは、そんなことはしません。
 なお、氏名はフィッシングメールに入っていますし、宿泊施設、チェックインチェックアウト日、暗証番号なども入っていることが多いです。

 ブッキング・ドットコムの広報担当者によりますと、サイバー攻撃の手法を分析して対策を講じても、新たな攻撃方法が開発され、攻撃自体をなくすことは難しいそうです。
 一般のサイト利用者に対しては「疑わしいメールがきたら(ブッキング・ドットコムの)カスタマーセンターなどに連絡してほしい」と呼びかけています。
 ただ、カスタマーセンターにつながるには、時間帯によっては、時間を要することにあります。

 外国のホテルなら、国際電話はもったいないですし、英語で話すのも嫌ですね。
 会員としてログインして、当該予約をクリックし、支払い方法のところをみれば、本当に間違ったクレジットカード(不正利用等により番号が変わったということなど)かどうかわかります。正確なら、フィッシングメールであることがわかります。

 日本の宿泊施設なら、予約確認書に、宿泊施設の電話番号が必ず掲載されていますから、電話を宿泊施設にかけるのが、一番確実です。
 宿泊施設も、対応策がとれるでしょう。


「ブッキング・ドットコム」悪用 ホテルが明かした不正アクセス被害の実態

 Booking.comの名をかたるフィッシングメールというコラムを書いたことがありました。

「Booking.com」「agoda」「Expedia」などのサイトを利用したフィッシングメールの被害が多発してるようです。
 手口は、「Booking.com」「agoda」「Expedia」との契約が締結された後に、予約したホテルのアドレスから、「料金が未決済である。12時間以内にクレジットカード情報の入力をしてほしい。さもなくば予約をキャンセルする」というメールが届いて、入力するとクレジットカードのデータが盗まれて、キャッシングされたり、身に覚えのない物が購入されるという寸法です。
 無視して問題ないということになります。
 心配ならば、同じ日に近くのホテルを予約しておいて、いずれかの予約をキャンセルすればいいことです。少しくらい安いからと行って、前金で支払わないことが大切です。
 手口は、ホテルなど宿泊施設のパソコンにマルウェアを侵入させるという手口のようです。
 顧客を装って予約をし、顧客を装って、マルウェアのプログラムをインストールするファイルやリンクを送付するという手口だそうで、顧客の方としては手の打ちようがありません。
 「Booking.com」「agoda」「Expedia」は責任をとってくれません。
 乗っ取られたのは、宿泊施設のパソコンです。

 長野県松本市のホテルが、不正アクセスの詳細な手口の取材に応じてくれたそうです。

 このホテルに不審なメールが届いたのは、令和5年9月13日午前1時ごろ、文章は英語、送り主の名は外国人でした
た。
 ブッキング・ドットコムで予約したが、ホテルとメッセージをやりとりするチャット機能がうまく使えないと訴える内容だったそうです。
 「ここでやりとりしたい」とURLが記載されていました。
 ホテルスタッフは、同じ名の予約が実際に入っていることを確認した上でURLをクリックしました。
 その当時は、何が起きたかは把握できていないとしながら、その後に起きた被害から「URLをクリックしたことで、宿泊予約システムにアクセスするホテルのIDとパスワードが抜き取られた」と推測されるそうです。
 それ以降、ブッキング・ドットコムを通じて予約した客に対し、ホテルを装った偽のメッセージがチャット機能を使って送信されるようになりました。
 同じようにURLが記載されており、予約客がクリックすると、クレジットカード情報の入力を求めるページに移る仕組みでした。
 「カード情報を入力してしまった」「お金を取られた。どうしてくれるのか」。ホテルに対し、被害を訴える問い合わせが20件ほど寄せられました。ほとんどが海外の予約客だったそうです。
 朝になって現場責任者の男性はホテルに出社し、スタッフから被害報告を受け、すぐに、宿泊予約システムにアクセスするためのパスワードを変更し、予約客に対し、「URLを開かないでください」と注意喚起のメッセージを送ったそうです。

 メールの送り主は結局、宿泊当日、現れなかった。当然ですね。私が犯人ですというようなものですから。
 このホテルでは半年先までの予約を受付けているそうです。
 正確には把握できていませんが、予約客に送られた偽のメッセージは「予約状況からすると1000件ほどとみられる」そうです。
 「迷惑をおかけして申し訳ない」と現場責任者が言っていました。
 メールの送り主の名で実際に予約が入っていただけに対応の難しさを感じましが、予約客からのメールでも疑わしいURLは開かないよう対応を改めたそうです。

 ホテルにはその後も不審なメールが届いたそうです。「アレルギーで食べられない物がある。このURLから確認してください」。
 この送り主の名も予約客の中にありましたが、やはり宿泊当日に姿を現すことはなかったそうです。

 多いですね。
 もう慣れっこになりました。
TOPへ戻る