日本ホテル業界を標的にTONブロックチェーン悪用のRAT「TONResolver」が判明、Booking.com偽装で従業員に感染

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo




「ゲストからの苦情メールに添付ファイルがあったら、開けていいの?」
「うちのホテルもBooking.comを使っているけど、大丈夫?」

チップス

ボス!Trend Microがホテルを狙った新しいRAT攻撃を報告していましゅが、どんな手口なんでしゅか?

ボス

ゲストからの苦情メールに偽装し、ブロックチェーンを悪用して検知を回避する巧妙な攻撃だ。ホテル業界特有の運用を突いた手口で、日本では5月下旬から活発化している。

宿泊施設でBooking.comを利用している担当者であれば、今すぐ確認すべき脅威です。
Trend Microが報告したこのキャンペーンは、ホテル業界の日常業務に溶け込む形で攻撃を仕掛けてきます。

  • Booking.com提携の日本ホテル従業員を狙ったRAT「TONResolver」の感染事例がTrend Microにより報告された
  • ゲストの苦情や宿泊レビュー依頼を装ったメールにLNKファイルを同梱し、Node.jsベースのRATを仕込む
  • TONブロックチェーンのスマートコントラクトでC2サーバーを隠蔽するため、従来のブロック手法が効きにくい

この記事では、攻撃の全容とホテル業界が今すぐ取るべき対策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

日本ホテル業界を狙った標的型フィッシングとは

Trend Microは2026年6月30日、日本のホテル・宿泊施設を標的とした新たなフィッシングキャンペーンを公表しました。

攻撃の背景と狙われた理由

今回の標的となったのは、Booking.comと提携している日本国内のホテルや宿泊施設の従業員です。
攻撃者が日本のホテル業界を選んだ背景には、次のような要因が挙げられます。

  • ゲストからの問い合わせ・苦情対応が日常業務として定着しており、メール開封への警戒心が低くなりやすい
  • Booking.comというブランドへの信頼が高く、偽装メールが本物と区別されにくい
  • フロントスタッフなどがセキュリティ訓練を十分に受けていないケースが多い

攻撃は2026年5月下旬から日本で活発化しており、Trend Microの調査では複数のホテルで感染が確認されています。
ゲストの「重大な苦情」や「宿泊レビュー依頼」を装ったメールが送りつけられ、添付ファイルへのリンクをクリックするよう誘導されます。

チップス

苦情メールなら普段から対応しているでしゅ……それを利用するなんて巧妙でしゅね。

ボス

まさにその「業務の習慣」を突いているのが今回の攻撃の狡猾な点だ。日常的なメール処理の流れに溶け込ませることで、従業員のガードを下げているんだな。

ブロックチェーンでC2を隠蔽する新手口

TONResolverの最大の特徴は、TON(The Open Network)ブロックチェーンのスマートコントラクトを使ってC2(指令)サーバーの情報を隠蔽する点です。
従来のRATはC2サーバーのドメインやIPアドレスをコードに直接記述するため、検知・ブロックが比較的容易でした。
しかしTONResolverは、ブロックチェーン上のスマートコントラクトからC2アドレスを取得するため、以下のような耐障害性を持ちます。

  • C2サーバーがブロックされても、スマートコントラクトを更新するだけで新しいサーバーに切り替えられる
  • ブロックチェーンのトランザクションは検閲・削除が困難で、インフラの永続性が高い
  • tonapi.ioという正規APIを経由するため、通信がセキュリティツールに検知されにくい

感染端末はC2の指令を受けて、ユーザー名・ホスト名・OS・CPU・MACアドレスなどの情報を収集します。
さらに、任意のJavaScriptやPowerShellコマンドの実行も可能で、追加マルウェアの投下や認証情報窃取につながる恐れがあります。

多段階の感染チェーンと具体的な防御策

今回の攻撃は、複数の段階を踏んで感染を成立させる点でも高度です。

LNKファイルからNode.js感染までの流れ

感染の流れをステップごとに整理すると、以下の通りです。

  • ①フィッシングメール受信: 「ゲストからの重大な苦情」「宿泊レビュー依頼」を装ったメールで、ZIPファイルへのリンクを送付
  • ②LNK実行: ZIPを展開すると写真に偽装したWindowsショートカット(LNK)ファイルがあり、クリックするとPowerShellが起動
  • ③Node.js展開: PowerShellがNode.jsをインストールし、難読化されたJavaScriptペイロードを実行
  • ④C2接続: TONブロックチェーン経由でC2サーバーに接続し、攻撃者の指令を受信・実行
チップス

写真ファイルだと思ってクリックしたら、実はマルウェアだったでしゅか!?怖すぎましゅ……。

ボス

LNKファイルはWindowsのショートカット形式で、拡張子が隠れていると写真に見える。アイコンも画像ファイルのものに偽装できる。こういった「目に見えない部分」を突くのが巧妙なところだな。

ホテル業界が今すぐ取るべき対策

Trend Microをはじめとするセキュリティ研究者は、以下の対策を推奨しています。

  • ゲストからの添付ファイルを高リスクとして扱い、開封前にセキュリティ担当者に確認する手順を設ける
  • アプリケーション許可リストを使い、node.exeやPowerShellの不審な実行をブロックする
  • WebSocket通信や外部へのアウトバウンドトラフィックを監視し、異常を検知する体制を整える
  • フロントスタッフを含むすべての従業員にフィッシング訓練を実施し、不審メールの識別力を高める

特に重要なのは、「ゲストからの苦情メール」という日常業務に溶け込んだ攻撃への意識付けです。
セキュリティ訓練の場で、このキャンペーンの手口を具体的に共有することが効果的です。

まとめ

TONResolverによるフィッシングキャンペーンは、日本のホテル業界の業務習慣を巧みに利用した高度な標的型攻撃です。
ブロックチェーンを使ったC2の隠蔽は従来の対策を回避しやすく、感染後は端末の完全なリモート制御につながる恐れがあります。
Booking.comを利用している宿泊施設は、スタッフへの意識啓発と技術的な防御策の両方を速やかに実施してください。
メールに添付されたリンクやファイルを安易に開かないルールを、現場レベルで徹底することが第一歩です。

チップス

うちのホテルでもすぐに周知しましゅ!ゲスト苦情メールの添付ファイルは必ず確認する、って習慣を作るでしゅ!

ボス

その姿勢が大事だ。セキュリティは技術だけでなく、現場の一人ひとりの習慣で成り立つものだからな。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次