2018年6月26日、ファストブッキングは同社のホテル予約システムが不正アクセスを受け、情報が流出したと発表しました。予約サービスは国内ホテルなど多数の宿泊施設(世界90か国、約3500施設)で、主に海外からの利用者を対象に利用されていました。ここでは関連情報をまとめます。
公式発表
- 2018年6月26日 ファストブッキングサーバーへの不正アクセスによる個人情報および暗号化されたクレジットカード情報の流出について
- [PDF] INFORMATIONS ABOUT A PERSONAL DATA BREACH
- ファストブッキングが日本語サイト以外でお知らせをしていないのは日本国内ホテルへの影響が最も大きい、また日本が最重要市場の1つであるため。
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2018年6月15日 4時43分 | ファストブッキングのサーバーへ不正アクセス。事象(1)による情報流出が発生。 |
| 2018年6月17日 | ファストブッキングのサーバーへ不正アクセス。事象(2)による情報流出が発生。 |
| 2018年6月20日 5時2分 | ファストブッキングがモニタリングサービスを通じて不正アクセスを把握。 |
| 2018年6月21日 | ファストブッキングがユーザー(ホテル)に対して不正アクセスの被害を報告。 |
| 2018年6月26日 | ファストブッキングが不正アクセスの被害を発表。 |
| 同日以降 | ファストブッキングの予約システムを利用していたホテルより被害発表が相次ぐ。 |
被害
- 15日、17日の2回の不正アクセスにより複数の情報が流出した。
- 2回の不正アクセスにより影響を受けた国内の宿泊施設数は401か所。
- ファストブッキングからはホテルに対して経緯、対象者リストがメールで送付されている。
| No | 発生日 | 対象の宿泊施設数 | 流出した件数 | 流出した内容 | 暗号化の有無 |
|---|---|---|---|---|---|
| 事象(1) | 2018年6月15日 | 380施設 | 20万5137件 | 顧客氏名、国籍 郵便番号、住所、メールアドレス 予約金額、予約番号、予約ホテル名 チェックイン日、チェックアウト日 |
無し |
| 事象(2) | 2018年6月17日 | 189施設 | 12万580件 | 顧客氏名 クレジットカード番号 クレジットカード有効期限 顧客アカウント名 |
有り |
被害発表をしている国内ホテル
対象施設名
影響を受けたとして名前が公表されたホテル名は以下の通り。
株式会社ニュー・オータニ(1施設)
アールエヌティーホテルズ株式会社(34施設)
- リッチモンドホテル札幌駅前
- リッチモンドホテル札幌大通
- リッチモンドホテル帯広駅前
- リッチモンドホテル青森
- リッチモンドホテル秋田駅前
- リッチモンドホテル山形駅前
- リッチモンドホテル仙台
- リッチモンドホテルプレミア仙台駅前
- リッチモンドホテル福島駅前
- リッチモンドホテル宇都宮駅前
- リッチモンドホテル宇都宮駅前アネックス
- リッチモンドホテル成田
- リッチモンドホテルプレミア東京押上
- リッチモンドホテルプレミア浅草インターナショナル
- リッチモンドホテル浅草
- リッチモンドホテル東京水道橋
- リッチモンドホテル東京目白
- リッチモンドホテル東京武蔵野
- リッチモンドホテルプレミア武蔵小杉
- リッチモンドホテル横浜馬車道
- リッチモンドホテル松本
- リッチモンドホテル浜松
- リッチモンドホテル名古屋納屋橋
- リッチモンドホテル東大阪
- リッチモンドホテルなんば大国町
- リッチモンドホテル福山駅前
- リッチモンドホテル高知
- リッチモンドホテル博多駅前
- リッチモンドホテル福岡天神
- リッチモンドホテル長崎思案橋
- リッチモンドホテル熊本新市街
- リッチモンドホテル鹿児島金生町
- リッチモンドホテル鹿児島天文館
- リッチモンドホテル那覇久茂地
藤田観光株式会社 (30施設)
- 藤田観光ワシントンホテル旭川
- 青森ワシントンホテル
- 八戸ワシントンホテル
- 仙台ワシントンホテル
- 浦和ワシントンホテル
- 千葉ワシントンホテル
- 木更津ワシントンホテル
- 秋葉原ワシントンホテル
- 新宿ワシントンホテル本館
- 新宿ワシントンホテル新館
- 東京ベイ有明ワシントンホテル
- 横浜伊勢佐木町ワシントンホテル
- 横浜桜木町ワシントンホテル
- 関西エアポートワシントンホテル
- 広島ワシントンホテル
- キャナルシティ・福岡ワシントンホテル
- 長崎ワシントンホテル
- 佐世保ワシントンホテル
- ホテルグレイスリー札幌
- ホテルグレイスリー浅草
- ホテルグレイスリー銀座
- ホテルグレイスリー田町
- ホテルグレイスリー新宿
- ホテルグレイスリー京都三条
- ホテルグレイスリー那覇
- ホテルフジタ奈良
- ホテルグリーンタワー幕張
- 伊東小涌園
- 由布院緑涌
- ホテル椿山荘東京
株式会社阪急阪神ホテルズ(18施設)
ホテルモントレ株式会社(20施設)
株式会社グランビスタホテル&リゾート(8施設)
- 札幌グランドホテル
- 札幌パークホテル
- 銀座グランドホテル
- ホテルインターゲート京都 四条新町
- ホテルインターゲート東京 京橋
- 鴨川シーワールドホテル
- 白良荘グランドホテル
- ホテル・ザ・ルーテル
株式会社イシン・ホテルズ・グループ(17施設)
日本ビューホテル株式会社(2施設)
- 浅草ビューホテル
- 大阪ビューホテル本町
株式会社ブライトンコーポーレーション(3施設)
- 京都ブライトンホテル
- ホテルブライトンシティ京都山科
- ホテルブライトンシティ大阪北浜
株式会社芝パークホテル(2施設)
- 芝パークホテル
- パークホテル東京
株式会社ホテルサイボー(1施設)
- ホテル日本橋サイボー
ブリーズベイオペレーション2号株式会社(1施設)
グランホテルオペレーション株式会社(1施設)
- リーガロイヤルグラン沖縄
株式会社トラベリエンス(1施設)
- プラネタイズホステル
ソラーレ ホテルズ アンド リゾーツ株式会社(12施設)
S.H.ホールディングス株式会社(1施設)
- ホテル&レジデンス六本木
クレジットカード会社の発表
- JCB 「ファストブッキング社」における個人情報流出について
- ジャックス [PDF] 「ファストブッキング社」におけるお客様情報流出の可能性について
- トヨタファイナンス 「ファストブッキング社」におけるお客さま情報流出について
- 三井住友トラストクラブ 「ファストブッキング社」(ホテル予約外国語ウェブサイト)における個人情報流出の可能性について
- クレディセゾン ファストブッキング社の予約サイトにおけるお客様情報流出について
- セブンCSカードサービス ファストブッキング社の予約サイトにおけるお客様情報流出について
ホテルからの連絡
プリンスホテル
あら、プリンスホテルから来たー!
— hiro_ (@papa_anniekey) 2018年6月28日
あれ?なんでだろ… pic.twitter.com/DCKGy0rxhB
んじゃ報告書も貼っておきます pic.twitter.com/9joMewiE5T
— hiro_ (@papa_anniekey) 2018年6月28日
更新履歴
- 2018年6月27日 PM 新規作成
- 2018年6月28日 PM 続報追記
- 2018年6月29日 AM 続報追記
- 2018年6月29日 PM 続報追記
- 2018年7月2日 PM 続報追記
*1:ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩,日経xTech,2018年6月28日
