2023年6月1日、ホテルグランヴィア大阪は同社が利用している宿泊予約管理システムが不正アクセスを受け、さらに一部の宿泊予約をした人へフィッシングサイトへ誘導するメッセージが送信されていたことを公表しました。ここでは関連する情報をまとめます。
管理システムのチャット機能を不正利用
- 不正アクセス被害にあったのはホテルグランヴィア大阪が利用していたBooking.comの宿泊予約管理システム。不正アクセス後、当該システムのチャット機能を通じて宿泊予約者に対しフィッシングサイトへ誘導するメッセージ送信が行われた。
- ホテルグランヴィア大阪はBooking.comから連絡を受け不正アクセスの事実が判明。初報時点では第三者が当該システムを通じて宿泊予約者の情報が流出した可能性があるとしていたが、その後のBooking.comの調査を通じて流出の痕跡はないとして外部への情報流出は否定した。
- フィッシングメッセージはBooking.comを経由(2022年5月1日から2024年3月31日まで)してホテルグランヴィア大阪に宿泊予約をした一部の利用者に送信されていた。約200人に対してメッセージが送信されていた。*1送信されたメッセージは英文で記載されており、文中にはURLも併記されていたとしてSNS等で報告があがっていた]。
- 報告されていた事例では、文中にGoogle ドライブのURLが記載されており、パスワード付のアーカイブファイルをダウンロードし開くよう要求するものだった。またクレジットカード情報を確認するよう要求する文面とともにQRコードが記載されているケースもあった。なお、第二報公表時点でフィッシングメッセージの被害にあったとする宿泊予約者からの報告は受けていないとしている。
標的型メールを通じ情報窃取型マルウエアに感染か
- 管理システムが不正アクセスにあった原因は、ホテルグランヴィア大阪でシステム管理に使用していたPC1台がマルウエアに感染していたためであったと公表。ホテルよりマルウエアの種類、感染経路などの詳細は開示されていない。他方でAkamaiは情報窃取型マルウエアを用いた宿泊客を狙うフィッシングキャンペーンが起きていると報告している。*2 LACもホテルを狙った事案に関する対応(約10社)を行ったとして業界関係者へ注意を呼び掛けており、同社によればこれまで3種類(RedLine、DCRAT、Vidar)の情報を盗み取るマルウエア(インフォスティーラー)の感染を確認したとしている。*3 *4
- マルウエアへの感染に誘導する手口は、Trend Microが2023年4月にホスピタリティ業界を狙ったキャンペーンが発生していると報告している。*5ホテル宛に宿泊者になりすまして送られたメール(アレルギー情報を送る、車いすで宿泊したい、挙式したいなどの内容)が届き、文中のリンクをクリックするとクラウドストレージ(確認されたケースはDropbox、Google Drive)に接続。ストレージ中にある実行ファイルを実行することで感染するもの。なお最新の動向として、Tripadvisorからのクレームを装った添付ファイルを通じてランサムウエアを展開する動きを確認したと報告も行っている。*6
- Booking.comの宿泊管理システムにログインするには2段階認証の利用が必要だが、ホテル側は二段階認証を利用していたにもかかわらず不正アクセスを受けた痕跡が確認された事例が確認されている。具体的な手法に関してはこれまでのところ発表、報道はされていない。
ホテルグランヴィア大阪をhttps://t.co/3cfLLspKh2で予約したら、詐欺なのか不正ログインされて乗っ取りにあってるのか不穏な感じになってきた… pic.twitter.com/dPPCe4plkH
— らび@宮城 (@peCQDY6sGc1vYjA) 2023年5月30日
- Booking.comも同様の手口によるフィッシングメールが配信されていると注意を呼び掛けている。
他サービスでも同様の被害か
観光庁がBooking.comに対応を指示
- Booking.comのサービスを通じてクレジットカード情報を狙う攻撃が世界規模で確認されているとして、「観光庁は同社に対して宿泊者、施設関係者の被害拡大防止のための注意喚起を迅速に行い、調査、再発防止の実施を進めることを指示した」として、2023年11月14日の閣議後記者会見で同社へ対応を指示したことを国土交通大臣が明らかにした。*10
- 2023年11月15日 Booking.com利用者へのフィッシング被害に関する注意喚起
複数ホテルで被害公表やフィッシングの注意を呼びかけ相次ぐ
- 宿泊予約管理システムが不正アクセスを受けチャット機能が悪用される事例が6月以降相次ぎ公表されている。68の施設が被害公表を行っていたとして報じられている。*11
Booking.com経由のフィッシング報告
同様の事案とみられるフィッシングメールを受け取られた方や被害にあわれた方の報告は以下の通り。
- ブッキングドットコムから英語のメール|フィッシング詐欺に注意!対処法を解説 (ミニマリストあんなんのブログ)
- 【注意喚起】ホテル予約サイトのフィッシング詐欺に遭ってしまった件(´;ω;`)(シンガポール食べ歩きノート)
- 偽❓Booking.comにやられたかも❓どうなる❓ (シアワセのカタチと心の再生の日々)
- 【Booking.com】フィッシングに引っかかりました(涙)(ゆったりプレシニアライフ)
- Booking.com予約で詐欺にあった (萩原高行)
- Booking.comのフィッシング詐欺に引っかかる (mimimiz)
関連情報 (朝日新聞取材記事)
更新履歴
- 2023年7月22日 AM 新規作成
- 2023年9月22日 PM 被害確認されたホテルを追記
- 2023年10月4日 PM 被害確認されたホテルを追記
- 2023年11月15日 PM マルウエアの感染手法など追記
*1:JR西日本グループ運営ホテル 利用客の個人情報流出の可能性,NHK,2023年6月2日
*2:ホテルの宿泊客を狙った巧妙なフィッシングキャンペーンの正体を暴く,Akamai,2023年9月21日
*3:コロナ禍から回復中の観光業を標的としたサイバー脅威に対する注意喚起,LAC,2023年10月23日
*4:ホテル狙うサイバー攻撃に注意 客の相談装い、不審メール,東京新聞,2023年11月11日
*5:RedLine Stealerによるホスピタリティ業界を標的にしたスピアフィッシング攻撃,Trend Micro,2023年4月12日
*6:EV証明書の不正利用:マルウェア「RedLine」、「Vidar」の最新攻撃手法を解説、ランサムウェア感染の危険も,Trend Micro,2023年10月3日
*7:agoda(アゴダ)で予約したホテルから届く偽のフィッシングメール、詐欺メッセージに注意!,siam manao-life,2023年10月18日
*8:Agoda Nightmare: Falling Victim to the Booking.com Phishing Scam,Wild About Travel,2023年10月18日
*9:Cyber-attacks: How can you keep your hotel and your customers safe?,Agoda,2023年11月10日
*10:宿泊予約サイトに不正侵入カード情報盗む被害 世界規模で確認,NHK,2023年11月14日
*11:ホテル装いカード情報盗む 「ブッキング・ドットコム」を悪用、予約客誘導 世界規模で被害,朝日新聞,2023年11月12日