概要
世界最大のオンライン旅行予約サービスBooking.comは2026年4月13日、悪意のある第三者が顧客の予約記録の一部に不正アクセスしたことを公式に確認した。流出した可能性のある情報は氏名、メールアドレス、電話番号、郵便住所、予約日程・宿泊施設の詳細、ならびにホテルとのメッセージ履歴など。同社はクレジットカードをはじめとする金融情報へのアクセスはなかったと明言しているが、影響を受けたユーザーの具体的な人数については明らかにしていない。
不正アクティビティを検出した直後に問題を「封じ込めた」と同社は説明しており、影響を受けた顧客へのメールによる個別通知をすでに開始している。また、既存および過去のすべての予約に紐づく予約PINコードがリセットされた。
攻撃手法と既知の被害
今回の侵入経路や具体的な攻撃手法については、Booking.comは詳細を公表していない。ただし過去の類似インシデント(2021年)との比較から、パートナー(ホテルスタッフ)のアカウントが侵害されるサプライチェーン型の攻撃が疑われている。2021年の事案ではオランダのデータ保護当局がBooking.comに対して475,000ユーロ(約7,100万円相当)の罰金を課しており、その際も宿泊施設スタッフのログイン情報を悪用した不正アクセスによって4,000人以上の顧客データ(一部クレジットカード情報を含む)が流出している。
流出した予約情報はすでに詐欺に悪用されている。Redditなどのコミュニティでは、本物の予約内容(日程・宿泊先・連絡先)を知った攻撃者によるWhatsAppフィッシングメッセージや偽カスタマーサポート電話の被害報告が相次いでいる。AIを活用した自然な文面で組み立てられた詐欺メッセージは見分けが難しく、実際に金銭被害が発生するケースも報告されている。
Booking.comの対応と利用者への注意点
同社の対応措置は以下の通り。
- 全予約PINのリセット: 既存・過去を問わずすべての予約PINを無効化・再発行
- 個別通知: 影響を受けた顧客へのメール送付
- 24時間多言語サポート: 不安を感じるユーザー向けのカスタマーサポートを強化
Booking.comは公式声明の中で、「メール・電話・WhatsApp・SMSを通じてカード情報の提供や異常な振込を求めることは絶対にない」と強調している。利用者は以下の点に注意が必要だ。
- 予約確認や返金を名目にカード情報や銀行振込を求めるメッセージには応じない
- 不審なリンクはクリックしない
- ホテルやカスタマーサポートを装う連絡(特にWhatsAppやSMS)は公式サイトの連絡先から真偽を確認する
セキュリティ企業Talionの最高経営責任者Keven Knight氏は「世界最大の旅行予約サービスだけに、影響規模はかなり大きくなる可能性がある」と警告しており、詳細な情報開示が遅れるほどフィッシング・音声詐欺・身元詐欺のリスクが高まると指摘している。1億人以上のモバイルアプリユーザーを抱えるプラットフォームである以上、今後の影響範囲の全容開示と再発防止策の説明が求められる。