ホテル等の宿泊施設予約サイトのサイバー攻撃増加、不正アクセス・フィッシング詐欺から守るには
2023年6月頃から、世界最大級のオンライン予約サイト「Booking.com」経由で宿泊予約を行った利用者を狙ったフィッシング詐欺が国内で多数発生しています。Booking.comの予約システムに不正アクセスした攻撃者が、宿泊施設になりすまして宿泊客にフィッシングメールを送信するという手口です(フィッシング詐欺に至るプロセスは後述)。尚、Booking.comは2023年後半から不正アクセス対策への取り組みを公開しています。
また、2022年8月にはアジアを中心としたオンラインホテル予約サイトの「アゴダ(agoda)」、2024年4月頃から世界最大級のオンライン予約サイト「エクスペディア(Expedia)」に関連したフィッシング詐欺も発生しています。
「新型コロナウイルスとの共存」や「新しい生活様式」の認識が世の中で共有され、旅行者数が回復しはじめた2022年頃から、ホテル等の宿泊施設および宿泊施設予約サイトに対するサイバー攻撃が増加しています。特徴は「不正アクセス」が多いこと、及び、宿泊施設や同予約サイト自体が最終的な攻撃ターゲットではない、ということです。最終的なターゲットは宿泊施設や予約サイトの利用者であり、利用者のクレジットカード情報などの個人情報です。
攻撃手法
宿泊施設予約サイト(Booking.com、Expedia等)における不正アクセスの手口は以下の通りです。
- ①攻撃者が宿泊施設予約サイトを利用して宿泊予約をする。
- ②攻撃者が宿泊施設(ホテルや旅館など)へ問合せメッセージを送信する。メッセージにはウイルス付きのファイル(例:「アレルギー一覧表」)が添付されている。
- ③宿泊施設側は予約客の要望に対応するため、メッセージに添付されたファイル(ウイルス付)をダウンロードする。この時、宿泊施設のパソコンがウイルスに感染する。
- ④パソコンに感染したウイルスはアカウント情報などの情報を窃取し、宿泊施設予約サイトの認証情報を盗み出す。
- ⑤攻撃者は、盗んだ認証情報を利用して、宿泊施設の宿泊施設予約サイトのアカウントへ不正アクセスし、同宿泊施設の予約客の個人情報を盗み出す。
宿泊客へのフィッシング詐欺の手口は以下の通りです。
- ⑥攻撃者が情報を窃取した宿泊先のアカウントで宿泊施設予約サイトにログインする。
- ⑦攻撃者が宿泊施設と予約客との間のメッセージ機能を利用して、宿泊施設に成りすまして予約客にフィッシングメールを送信する。
- ⑧予約客は宿泊施設からのメール(実はフィッシングメール)に記載されたURL(実はフィッシングサイト)へアクセスし、表示されるフォームで要求される個人情報(氏名、住所、電話番号、メールアドレス、クレジットカード情報等)を入力する。
- ⑨予約客の個人情報が攻撃者に窃取される。
フィッシング被害にあわないためには
人による対策
「Booking.com」や「エクスペディア」の利用有無に依らず、宿泊施設においては、予約客からのメールやメッセージだとしても、添付ファイルや添付URLには注意が必要です。予約客へも、予約済みの案件に関して、再度のクレジットカード情報の提供や入力を促すメッセージを送付することはない、と予約完了時に周知、注意喚起する必要があります。予約客も再度のクレジットカード情報の要求は詐欺の可能性を認識すべきです。
警察庁からも、『「ホテルを狙う事案が発生!」(注意喚起)』が2024年3月に周知されており、宿泊施設と利用者は今後も注意が必要です。
- ※参考情報:ホテル・観光業へのサイバー攻撃とは?増加した理由と対処・対策について解説
- ※参考情報:「Booking.com」を利用した詐欺が多発?不正アクセスの手口や対処法を徹底解説
サイバーセキュリティソリューションによる対策
本攻撃は宿泊施設側で適切な対策を講じることで防御が可能となります。
- 攻撃手法②・③:EメールセキュリティソリューションやWebブラウザセキュリティソリューションで防御
- 攻撃手法③~⑤:普及が拡大しているエンドポイントソリューションEDRと、EDRの監視・対処を提供するSOCサービスを利用することにより防御
- 攻撃手法⑥:宿泊施設は宿泊施設予約サイトの認証を多要素認証にすることで防御
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne)のおまかせ運用を実現します。
