世界最大級の旅行予約サイト「Booking.com」(ブッキング・ドットコム)経由の予約情報が流出し、国内のホテルを装った不審なメッセージが大勢の客に届いている問題で、Booking.comの日本法人「ブッキング・ドットコム・ジャパン」の大畑智美広報部長がJ-CASTニュースの取材に応じ、「Booking.comからは一切、予約情報は流出していない」と強調した。また、この問題で客に注意を告知しているホテルグループが10件を超えたことを明らかにした。提供する「管理画面」の管理や安全対策はホテル側の担当範囲と主張不審なメッセージは2026年5月のゴールデンウイークから急増したとみられ、悪質なフィッシングサイト(詐欺サイト)への誘導をはかるURLリンクがついている。J-CASTニュースは、アパホテル、東武ホテル、ワシントンホテルなどを展開する「WHGホテルズ」、「ホテル京阪浅草」のケースを5月19日に初めて報道したが、注意喚起をしているホテルがさらに増加したことになる。Booking.comはオランダに本社を置き、大畑氏は日本法人の幹部。取材は5月22日に行った。大畑氏はJ-CASTニュースの報道について「弊社からは、予約情報が流出した形跡は一切ない」と主張した。説明によると、Booking.comと提携するホテルには「外付けのホームページのような『管理画面』があてがわれている」が、この「管理画面」のパスワード管理や安全対策はホテル側の担当範囲だという。「弊社のバックシステムへの犯罪者のアクセスの形跡は一切ない」大畑氏によると、Booking.comは「デジタルプラットフォーマー」として常時、フィッシングなど不正な動きを「パトロールしている」。欧米で2026年4月に注目されたのは「犯罪者のような人たちに、普通とは違う動きが見られたので、早めにプロテクト(保護)した」からだと語った。このときは一部の予約のPIN(暗証)を強制的に変更し、客本人とホテルにメールなどで注意喚起の通知をした。一方、5月から日本国内で不審なメッセージやメールが続出している事態について「4月の動きとはパターンが違う」との見方を示し、「弊社のバックシステムへの犯罪者のアクセスの形跡は一切ない」と、同社からの情報流出を重ねて全面否定した。記者は2025年秋にBooking.com経由でアパホテルを予約し、2026年4月13日にPIN(暗証)変更のメール通知を受け取った。ところが5月2日になって、ホテルの担当者を装う不審なメッセージがスマホの通信通話アプリWhatsAppに届いた。少なくとも氏名、宿泊予定日、予約番号、携帯電話番号の流出がうたがわれた。続いて5月12日にも、アプリ「Googleメッセージ」に2件目の不審なメッセージが届いた。「犯罪だから、システムがどうアタックされたかは開示できない」こうした予約情報流出は、Booking.comからでなければ、どこから漏れたと考えられるのだろう。この質問に大畑氏は「フィッシングは本当に色々なケースがあるので慎重に調べなければならない」と答え、その先は話さなかった。Booking.comのセキュリティー部門と各ホテルの間には、直接、異状を報告し相談する仕組みが備わっているという。不審メッセージのもとになった予約情報の流通経路について問うと、大畑氏は「流通経路がどうアタックされたかは開示できない。なぜなら、フィッシングは犯罪なので、公表しない」とした。被害全体の人数やホテルの数、国籍についての質問にも「数字は開示していない」と回答しなかった。大畑氏はホテル名を明らかにしなかったが、記者の調べでBooking.com経由の予約情報流出と客に対する不審なメッセージが新たに判明したのは、東急不動産の子会社が運営する「東急ステイ」。5月21日に公式サイトに告知を掲載し、「本事象についてはBookin.comに状況の確認及び調査を依頼」「現時点において、当ホテルでは本件に関する情報流出は確認されていない」と述べている。相鉄ホテルズ、ホテルモントレ、法華クラブグループも注意喚起を呼び掛ける神戸港のランドマークとされる「ホテルオークラ神戸」は5月22日、「『Booking.com』を通じたご予約に関する当ホテルをかたる不審なメールの送信事象について」との告知を公式サイトに掲載した。客に心配をかけていることについて「心よりお詫び申し上げます」と述べている。「当ホテルでは予約アカウントが不正利用された形跡はない」とし、管理システムのパスワード変更などの措置を講じたという。相鉄ホールディングス傘下の「相鉄ホテルズ」も同日、公式サイトで「弊社ホテルやBooking.comを装った不審なメッセージの送信」への警戒を呼びかけ、「お客さまには多大なるご心配とご迷惑をおかけしていることを心よりお詫びする」と表明した。また、「ホテルモントレ」は5月上旬以降、東京、大阪などにある個別ホテルで同様の不審メッセージ送信を確認し、公式サイトで公表した。「ホテル法華クラブグループ」も5月14日、京都など各地のホテルを装った不審メッセージをめぐり、注意喚起を公式サイトで呼びかけている。(ジャーナリスト 橋本聡)
記事に戻る