世界最大級の旅行予約サイト「Booking.com」(ブッキング・ドットコム)の予約情報が流出し、国内のホテルを装う詐欺目的のメッセージが客に相次いで届いているが、被害は欧米でも報告され、巧妙な手口は「予約ハイジャック」と呼ばれて注目されている。
-
「予約ハイジャック」の巧妙手口とは(写真はイメージ) -
不審なメッセージが届いた(実際のメッセージ、一部を加工)
Booking.comは予約の暗証番号を強制リセット
Booking.comは1996年にオランダのアムステルダムで設立され、45カ国語で予約に対応する。公式サイトによると、2010年以降、68億人以上が利用しているという。
不審なメッセージをめぐり、客への「お詫び」を公式サイトで2026年5月に表明したのは、日本では、ワシントンホテルなどをチェーン展開する「WHGホテルズ」(藤田観光が運営)(5月8日)、「株式会社東武ホテルマネジメント」(同7日)、「ホテル京阪 浅草」(同12日)などだが、Booking.comの予約情報流出は、複数の欧米メディアが2026年4月中旬に先行して報じている。
それによると、Booking.comは流出を認め、客の氏名、メールアドレス、電話番号、予約情報、ホテルとやりとりした内容が含まれる可能性があると述べたという。被害者数やハッキングの手口は明らかにせず、「クレジットカード情報は不正アクセスされていない」と強調。問題を封じ込めるために、流出の可能性がある予約の暗証番号を強制リセットし、客に通知したと説明していた。私のメール受信記録をさかのぼると、「Booking.comからの重要なセキュリティアップデート」と題するメールが2026年4月13日に届いていた。
偽メールを送り、被害者を慌てさせ、そのすきをついてカード情報を盗む
この手口を「予約ハイジャック」と呼ぶのは、英国の公共放送BBCやカナダの公共放送CBC Newsなどの欧米メディアだ。「従来のフィッシングよりはるかに巧妙だ」「詐欺の精度が向上した」と指摘する。ホテルを装って伝えてくる予約情報が詳しく正確なので、客は本物と信じてしまう。CBC Newsの取材を受けたセキュリティー専門家は「旅行日が近づくのを待って『予約がキャンセルされた』などと偽メールを送り、被害者を慌てさせ、そのすきをついてカード情報を盗む」と解説している。
ハッカーはどのようにしてセキュリティー対策の壁を突破したのか。「ホテル京阪 浅草」の公式サイトによると、Booking.comが提供する「宿泊予約情報管理システム」上の同ホテルのアカウントが、外部の第三者による不正アクセスを受けた可能性があるという。不正アクセスの原因については「Booking.com社および関係機関において現在も調査中」としている。
ハッカーが狙ったのは、世界の宿泊施設と旅行者をつなぐ巨大な予約プラットフォームだ。いったん侵入すれば、個別のホテルではなく、世界中の旅行者が標的になりうる。その危うさを「予約ハイジャック」は改めて示している。今回、次々と国内ホテルの顧客が被害にあっているのは、狙い先が日本にも及んで来たということだ。
(ジャーナリスト 橋本聡)