チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Booking.comのフィッシングって、なぜ予約情報まで正確なんでしゅか?」
「うちは旅行業じゃないのに関係あるんでしゅか?」
チップスボス、帝国ホテルが「予約客にフィッシングメールが届く事案がある」って注意喚起したそうなんでしゅ。Booking.com自体は破られてないって聞いたんでしゅけど、何が起きてるんでしゅか?
ボスふふふ、攻撃者は中間にあるホテルの管理アカウントを狙っている。Booking.com本体ではなく、宿泊施設端末がマルウェア感染し、そこから予約者へフィッシングを送る構図だ。
2026年6月1日時点で、Booking.com予約情報を悪用した宿泊客向けフィッシングが国内100施設以上で確認されています。
帝国ホテルをはじめとする宿泊施設が公式連絡先以外からの問い合わせに警戒するよう注意喚起を出しており、ホテル管理端末のマルウェア感染を起点とした攻撃チェーンが見えてきました。
本記事では攻撃の流れと、宿泊施設・利用者双方が取るべき対策を整理します。
記事を読み終える頃には、宿泊施設としての対策と、利用者を守る注意喚起の出し方が具体化します。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まず、いま国内で何が起きているのかを順に確認していきましょう。
本攻撃の発覚は2023年6月にさかのぼり、Booking.com予約客に対するフィッシング詐欺の被害が国内で相次いで報告されています。
2026年4月にBooking.comが顧客情報アクセス可能性を再度公表して以降、被害公表が増え、帝国ホテルやアパートメントホテルMIMARU、ザ・グランドホテル ギノワンなど多数の施設が公式サイトで注意喚起を出しました。
主な被害形態を整理すると、次のとおりです。
| 項目 | 状況 |
|---|---|
| 不正アクセス併発 | 公表施設の約81%で管理画面侵害を確認 |
| カード情報要求 | 約66%でクレジットカード再入力を要求するメール |
| 管理画面経由 | 約56%でBooking.comメッセージ機能から送信 |
チップス予約番号も金額も合ってるからつい信じちゃうやつでしゅ。これ、利用者は何を見れば見抜けるんでしゅか?
ボス連絡経路に着目しろ。Booking.comの正規メッセージは予約サイト内にも残る。メール内のURLだけで再決済を求められたら、まず公式アプリから状況を確認するのが鉄則だな。
次に、攻撃が成立してしまう構造的な原因と、宿泊施設側に求められる対策を見ていきましょう。
攻撃の起点は、攻撃者自身が宿泊客を装ってホテルへ問い合わせメールを送り、Google DriveやDropboxなど正規サービス上のリンクからマルウェアを展開する手口です。
展開されるのはVidarやStealC、Lummaといった情報窃取マルウェアで、Booking.com管理画面の資格情報を奪われた後、本物の予約客に対して正規メッセージ機能経由でフィッシングが行われます。
典型的な攻撃フローは次のとおりです。
被害を断ち切るには、宿泊施設側の管理アカウント保護と、利用者側の連絡経路チェックが両輪です。
特にBooking.com管理画面の多要素認証は導入の遅れが指摘されており、未設定の施設は即時設定すべき項目です。
優先度の高い対策をまとめます。
チップスうちの実家のホテルも危ないかもでしゅ。フロントは添付付きメールに慣れすぎてるんでしゅよね…。
ボスフロント業務はホスピタリティが武器だが、それを逆手に取られている。教育とEDR、両方を回す前提で運用設計を見直してくれ。
Booking.comの予約情報を悪用したフィッシングは、ホテル端末感染を起点に予約者を巧妙に騙す継続的な攻撃です。
宿泊施設は管理画面の多要素認証とEDR導入、利用者向け案内の整備を急ぎ、利用者側もメールURLだけで支払い対応をしないという原則を徹底することが大切です。
「公式以外の連絡は疑う」という運用を、宿泊業界全体で標準化していきましょう。
フィッシング対策やEDR運用の整備には、現場で実装経験のあるフリーランス人材の活用も選択肢です。
詳細は マキナレコードCodebookの解説 と livedoorニュースの報道 もご確認ください。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
