「犯罪だから、システムがどうアタックされたかは開示できない」
こうした予約情報流出は、Booking.com からでなければ、どこから漏れたと考えられるのだろう。この質問に大畑氏は「フィッシングは本当に色々なケースがあるので慎重に調べなければならない」と答え、その先は話さなかった。
Booking.comのセキュリティー部門と各ホテルの間には、直接、異状を報告し相談する仕組みが備わっているという。不審メッセージのもとになった予約情報の流通経路について問うと、大畑氏は「流通経路がどうアタックされたかは開示できない。なぜなら、フィッシングは犯罪なので、公表しない」とした。被害全体の人数やホテルの数、国籍についての質問にも「数字は開示していない」と回答しなかった。
大畑氏はホテル名を明らかにしなかったが、記者の調べでBooking.com経由の予約情報流出と客に対する不審なメッセージが新たに判明したのは、東急不動産の子会社が運営する「東急ステイ」。5月21日に公式サイトに告知を掲載し、「本事象についてはBookin.comに状況の確認及び調査を依頼」「現時点において、当ホテルでは本件に関する情報流出は確認されていない」と述べている。