本物と区別がつかないメールで被害者が続出――。宿泊施設を狙ったサイバー攻撃が巧妙化し、宿泊客や予約客に被害の及ぶケースが広がっている。宿泊施設のアカウントを乗っ取って予約客らにフィッシングメールを送り、個人情報を盗もうとする手口で、専門業者は「本物と見分けるのは困難」と指摘する。夏の旅行シーズンで宿泊施設を予約する人が増える時期。「メールに添付されたURLをクリックしないで」と注意を呼びかけている。
2023年6月以降、大手旅行予約サイト「ブッキング・ドットコム」(オランダ)や「エクスペディア」(米国)が不正アクセスの被害を受け、提携する宿泊施設の顧客情報が流出する事件が発生。日本国内でも宿泊施設を装ったフィッシングメールが送付され、予約客らがクレジットカード番号などを入力してしまったという被害が出ているという。
攻撃者は、どのようにして顧客情報を盗むのか。
まず攻撃者は予約客を名乗ってメールを宿泊施設に送付。宿泊施設がメールに添付されたファイルを開くとパソコンがマルウエア(悪意のあるプログラム)に感染してしまう。攻撃者は宿泊施設のアカウント情報を入手して管理システムに不正アクセスし、顧客情報を盗むという。
攻撃者は次に宿泊施設になりすまし、盗んだ顧客情報をもとに予約客らにメールを送る。宿泊代の支払いを求め、応じなければ「予約がキャンセルになる」といった内容だ。支払いをしようとメールのリンク先に移動すると偽サイトにつながり、クレジットカード情報などの入力を促される。宿泊を間近に控えた人の不安をあおるやり口だ。
サイバーセキュリティー事業を手がけるデジタルデータソリューション(東京都港区)は「宿泊施設の公式アカウントからメッセージが送られるため、見分けることは非常に困難」として、従来型のフィッシングメール以上に被害が続出しやすい理由を説明する。
X(ツイッター)には、こうしたフィッシングメールを受け取ったという人の投稿が多数寄せられている。「毎日のように旅行サイトから予約確認のメールがくる」「普通にホテルからかと思ってリンクを踏んでしまった」と困惑する人がいる一方、「(予約者本人の)名前の記載がない、時間を制限して手続きをせかすのは詐欺」と注意を促す人も。
ホテル関係者と思われる投稿主は「『娘がアレルギーがある。表を作ったので確認して』『母が足が不自由で車椅子を貸してほしい。こちらにメールして』(というメールの)どちらもリンクを踏んだら(マルウエアに)感染する」と投稿。攻撃者が宿泊施設側の親切心につけ込む手口もあるようだ。
フィッシング被害を防ぐにはどうすればよいのか。デジタルデータソリューションに対策方法を尋ねると、宿泊施設には「予約客や宿泊客が被害に遭わないように周知を徹底する」といった対応が求められるという。宿泊施設の利用者には「添付されたURLはクリックしないこと、個人情報を入力しないこと。仮に入力してしまった場合には、警察や銀行、クレジットカード会社に連絡をすることを勧めます」と話す。
ブッキング・ドットコムの広報担当者によると、サイバー攻撃の手法を分析して対策を講じても、新たな攻撃方法が開発され、攻撃自体をなくすことは難しいという。そこで、被害を減らすには「宿泊施設の協力が必要」といい、昨年末から宿泊施設の担当者を対象にフィッシング詐欺について学ぶ講習を開催しているという。一般のサイト利用者に対しては「疑わしいメールがきたら(ブッキング・ドットコムの)カスタマーセンターなどに連絡してほしい」と呼びかけている。【嶋田夕子】