情報漏洩詐欺

Booking.comの情報漏洩により、詐欺師たちは宿泊客を標的にするために必要な情報を手に入れた

ダニー・ブラッドベリー| 2026年4月16日
Booking.comのフィッシング詐欺の手口

旅行会社は、顧客のデータが安全だと強調するのが大好きだ。Booking.comは、なぜそれが守りにくい約束なのかを、改めて皆に思い知らせてくれた。

アムステルダムに拠点を置く大手予約サイトは4月13日、顧客に対し、「不正な第三者」が宿泊予約データにアクセスした旨の通知を開始した。流出した情報には、予約内容、氏名、メールアドレス、住所、電話番号などが含まれており、これらはホテルを装って宿泊客に連絡を取るために必要な情報がほぼすべて網羅されている。 

犯行グループは、Booking.comの提携ホテルを標的にしてデータにアクセスしたものとみられる。マイクロソフトの報告書によると、その手口は「ClickFix」と呼ばれるフィッシング手法であり、被害者(この場合はホテルの従業員)に、コンピュータの「修復」を装ったマルウェアをインストールさせるものである。

マイクロソフトはこの手口を「Storm-1865」と呼ばれる犯罪グループの仕業だと指摘しており、同グループが北米、オセアニア、南アジア、東南アジア、そしてヨーロッパ各地のホテル従業員を標的に、偽のCAPTCHAページを通じてXWormやVenomRATといった悪質なマルウェアを拡散させるキャンペーンを展開しているのを摘発した。 

Booking.comは顧客への通知で、流出したデータがフィッシング詐欺に悪用される恐れがあると警告し、同社が機密情報や銀行振込を要求することは決してないと述べた。

しかし、詐欺師たちは盗んだ予約データを現金化する確実な手口を持っている。彼らはホテルを装って予約を乗っ取り、宿泊客に追加の支払いや「支払い確認」を名目としたクレジットカード情報の提供を要求するメッセージを送ることができる。盗まれたデータがあれば、ホテルの顧客に対して自分たちが正当な者であると信じ込ませるために必要な情報はすべて揃うのだ。

英国の「アクション・フラウド」には、2023年6月から2024年9月にかけて、このようなBooking.comを装った詐欺に関する通報が532件寄せられ、被害総額は37万ポンド(約47万ドル)に上った。

Booking.comの提携ホテルや顧客を対象とした同様の事件は、過去にも発生しています。2018年には、犯罪者がホテルの従業員を標的にフィッシング攻撃を行い、Booking.comの顧客データを不正に取得しました。  また、同年後半には、UAEの40軒のホテルを標的としたボイスフィッシング攻撃も行われました。300人のクレジットカード情報を含む、4,000人以上の顧客データが盗まれました。Booking.comはオランダの個人情報保護当局への情報漏洩報告が遅れたため、2021年に47万5,000ユーロ(約56万ドル)の罰金を科されました。 

旅行業界で繰り返される情報漏洩問題

このような情報漏洩は、旅行業界では常態化している。 2026年1月、ユーレイルは、パスポート番号や住所、一部の旅行者については身分証明書のコピーや健康データが流出した情報漏洩を公表した。KLMとエールフランスは2025年8月に顧客データを盗まれた。ハーツ、ダラー、スリフティはいずれも、Cl0pギャングによるファイル転送ソフト「Cleo」の悪用被害に遭い、犯罪者によって運転免許証やクレジットカード情報が盗み出された。

これらの一連の事件で興味深いのは、Booking.comのデータ流出事件と同様に、いずれも旅行会社自体のシステムではなく、サードパーティのシステムが侵害されている点だ。旅行業界は、膨大な量のパスポート番号、クレジットカード情報、旅程データを保有している。そして、広範なサプライチェーン、フランチャイズ事業、サードパーティのプラットフォームから成るそのセキュリティ体制は、業界を攻撃の格好の標的にしている。

できること

影響を受けた顧客はどれくらいいるのか?Booking.comは明らかにしていない。アクティブなモバイルアプリユーザーが1億人を超え、月間ウェブサイト訪問者数が5億人に達するプラットフォームにとって、この沈黙は懸念材料だ。 

最近Booking.comを利用したことがある方へ、安全対策の実用ガイドをご紹介します。たとえプラットフォーム自体を通じて届いたものであっても、支払い情報の「確認」を求めるメッセージは信用しないでください。

以下は、今回の事件以前にBooking.comが発表した、こうした詐欺に関する同社自身のアドバイスです:

「前払いに関する規定や保証金の要件が明記されていないにもかかわらず、予約を確保するために前払いを求められた場合は、詐欺である可能性が高いです。」

実際に支払うべき金額や支払期日については、予約確認メールをご確認ください。何かおかしいと感じた場合は、他者から送られてきたリンクを経由するのではなく、宿泊施設に直接連絡してください。また、銀行の明細書もこまめに確認しましょう。こうした情報を悪用する詐欺師は、必ずしもすぐに手を出してくるわけではありません。

何かおかしいと感じたら?クリックする前に確認してください。  

Malwarebytes Guardを使えば、不審なリンク、テキスト、スクリーンショットを即座に分析できます。  

すべてのデバイス向けの「Malwarebytes Premium iOS Android向けMalwarebytes でご利用いただけます。  

無料でお試しください → 

著者について

ダニー・ブラッドベリ

ダニー・ブラッドベリ

ダニー・ブラッドベリは1989年からテクノロジー専門ジャーナリスト、1994年からフリーライター。消費者からソフトウェア開発者、CIOまで幅広い読者を対象に、テクノロジーに関するさまざまな問題を扱っている。また、テクノロジー・セクターのC-suiteビジネス・エグゼクティブのために記事のゴーストライターも務めている。英国出身で、現在はカナダ西部在住。

最新記事

ニュース
クロード ロゴ

偽のクロードに関する検索結果が、Mac ClickFix攻撃へと誘導している

5月12, 2026

研究者らは、偽の「Claude」設定ガイドMac 騙し、自らにマルウェアを感染させるように仕向けるClickFixキャンペーンを発見した。

ニュース
幸せそうな若者たちのグループ

インストラクチャー社によると、盗まれたCanvasのデータはhacker を経て「返還」されたという

5月12, 2026

インストラクチャー社は、数百万人の学生や教職員に影響を与えたCanvasの盗難データが「返還された」と発表している。しかし、情報漏洩の仕組みはそうではない。

ニュース
芝刈り機

ヤーボ、飼い主を轢き殺しかねないロボットの欠陥についてコメント

5月11, 2026

ある研究者が、Yarbo社の庭用ロボットに、Wi-Fiのパスワードが漏洩したり、カメラが乗っ取られたり、さらには命令によって所有者を轢き殺したりする可能性のある多数の脆弱性を発見した。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺