「ゲストからの苦情メールに添付ファイルがあったら、開けていいの?」
「うちのホテルもBooking.comを使っているけど、大丈夫?」
ボス!Trend Microがホテルを狙った新しいRAT攻撃を報告していましゅが、どんな手口なんでしゅか?
ゲストからの苦情メールに偽装し、ブロックチェーンを悪用して検知を回避する巧妙な攻撃だ。ホテル業界特有の運用を突いた手口で、日本では5月下旬から活発化している。
宿泊施設でBooking.comを利用している担当者であれば、今すぐ確認すべき脅威です。
Trend Microが報告したこのキャンペーンは、ホテル業界の日常業務に溶け込む形で攻撃を仕掛けてきます。
- Booking.com提携の日本ホテル従業員を狙ったRAT「TONResolver」の感染事例がTrend Microにより報告された
- ゲストの苦情や宿泊レビュー依頼を装ったメールにLNKファイルを同梱し、Node.jsベースのRATを仕込む
- TONブロックチェーンのスマートコントラクトでC2サーバーを隠蔽するため、従来のブロック手法が効きにくい
この記事では、攻撃の全容とホテル業界が今すぐ取るべき対策を解説します。
目次
日本ホテル業界を狙った標的型フィッシングとは
Trend Microは2026年6月30日、日本のホテル・宿泊施設を標的とした新たなフィッシングキャンペーンを公表しました。
攻撃の背景と狙われた理由
今回の標的となったのは、Booking.comと提携している日本国内のホテルや宿泊施設の従業員です。
攻撃者が日本のホテル業界を選んだ背景には、次のような要因が挙げられます。
- ゲストからの問い合わせ・苦情対応が日常業務として定着しており、メール開封への警戒心が低くなりやすい
- Booking.comというブランドへの信頼が高く、偽装メールが本物と区別されにくい
- フロントスタッフなどがセキュリティ訓練を十分に受けていないケースが多い
攻撃は2026年5月下旬から日本で活発化しており、Trend Microの調査では複数のホテルで感染が確認されています。
ゲストの「重大な苦情」や「宿泊レビュー依頼」を装ったメールが送りつけられ、添付ファイルへのリンクをクリックするよう誘導されます。
苦情メールなら普段から対応しているでしゅ……それを利用するなんて巧妙でしゅね。
まさにその「業務の習慣」を突いているのが今回の攻撃の狡猾な点だ。日常的なメール処理の流れに溶け込ませることで、従業員のガードを下げているんだな。
ブロックチェーンでC2を隠蔽する新手口
TONResolverの最大の特徴は、TON(The Open Network)ブロックチェーンのスマートコントラクトを使ってC2(指令)サーバーの情報を隠蔽する点です。
従来のRATはC2サーバーのドメインやIPアドレスをコードに直接記述するため、検知・ブロックが比較的容易でした。
しかしTONResolverは、ブロックチェーン上のスマートコントラクトからC2アドレスを取得するため、以下のような耐障害性を持ちます。
- C2サーバーがブロックされても、スマートコントラクトを更新するだけで新しいサーバーに切り替えられる
- ブロックチェーンのトランザクションは検閲・削除が困難で、インフラの永続性が高い
- tonapi.ioという正規APIを経由するため、通信がセキュリティツールに検知されにくい
感染端末はC2の指令を受けて、ユーザー名・ホスト名・OS・CPU・MACアドレスなどの情報を収集します。
さらに、任意のJavaScriptやPowerShellコマンドの実行も可能で、追加マルウェアの投下や認証情報窃取につながる恐れがあります。
多段階の感染チェーンと具体的な防御策
今回の攻撃は、複数の段階を踏んで感染を成立させる点でも高度です。
LNKファイルからNode.js感染までの流れ
感染の流れをステップごとに整理すると、以下の通りです。
- ①フィッシングメール受信: 「ゲストからの重大な苦情」「宿泊レビュー依頼」を装ったメールで、ZIPファイルへのリンクを送付
- ②LNK実行: ZIPを展開すると写真に偽装したWindowsショートカット(LNK)ファイルがあり、クリックするとPowerShellが起動
- ③Node.js展開: PowerShellがNode.jsをインストールし、難読化されたJavaScriptペイロードを実行
- ④C2接続: TONブロックチェーン経由でC2サーバーに接続し、攻撃者の指令を受信・実行
写真ファイルだと思ってクリックしたら、実はマルウェアだったでしゅか!?怖すぎましゅ……。
LNKファイルはWindowsのショートカット形式で、拡張子が隠れていると写真に見える。アイコンも画像ファイルのものに偽装できる。こういった「目に見えない部分」を突くのが巧妙なところだな。
ホテル業界が今すぐ取るべき対策
Trend Microをはじめとするセキュリティ研究者は、以下の対策を推奨しています。
- ゲストからの添付ファイルを高リスクとして扱い、開封前にセキュリティ担当者に確認する手順を設ける
- アプリケーション許可リストを使い、node.exeやPowerShellの不審な実行をブロックする
- WebSocket通信や外部へのアウトバウンドトラフィックを監視し、異常を検知する体制を整える
- フロントスタッフを含むすべての従業員にフィッシング訓練を実施し、不審メールの識別力を高める
特に重要なのは、「ゲストからの苦情メール」という日常業務に溶け込んだ攻撃への意識付けです。
セキュリティ訓練の場で、このキャンペーンの手口を具体的に共有することが効果的です。
まとめ
TONResolverによるフィッシングキャンペーンは、日本のホテル業界の業務習慣を巧みに利用した高度な標的型攻撃です。
ブロックチェーンを使ったC2の隠蔽は従来の対策を回避しやすく、感染後は端末の完全なリモート制御につながる恐れがあります。
Booking.comを利用している宿泊施設は、スタッフへの意識啓発と技術的な防御策の両方を速やかに実施してください。
メールに添付されたリンクやファイルを安易に開かないルールを、現場レベルで徹底することが第一歩です。
うちのホテルでもすぐに周知しましゅ!ゲスト苦情メールの添付ファイルは必ず確認する、って習慣を作るでしゅ!
その姿勢が大事だ。セキュリティは技術だけでなく、現場の一人ひとりの習慣で成り立つものだからな。