Booking.comが予約データ漏洩を認める、規模は伏せたまま

「不正な第三者」が予約情報にアクセスした、とBooking.comが認めている。該当ユーザーへの通知は始まったが、影響範囲も侵入経路も公表されない。ユーザーに残されたのは、自分で警戒するという選択肢だけだ。

規模の沈黙が続いている

Booking.comが予約データへの不正アクセスを認めている。通知は公式アドレス「[email protected]」から届き、侵入は封じ込め済みで該当予約のPINは再発行された、という内容だ。

ここまでは定型句である。問題は、その次にあるべき数字が一つも出てこないことだ。

何件の予約が影響を受けたのか。侵入はいつ始まり、いつまで続いたのか。そして、なぜ気づくのに時間がかかったのか。Booking.comはこれらのいずれにも答えていない。同社広報のSage Hunter氏はBleepingComputerに声明を出したものの、影響ユーザー数の質問には回答を拒み、「全員に個別通知する」とだけ述べた。

この種の声明文は、どの企業のどの事故のときにも出てくる。実質的な情報は、一文も含まれていない。

流出したのは「詐欺師の夢の材料」だ

漏洩した可能性があるデータの中身は、クレジットカード番号こそ含まれないものの、フィッシング攻撃を成立させる条件がほぼ揃っているのが不気味な点だ。

TechCrunchの続報によれば、流出対象は氏名、メールアドレス、電話番号、予約詳細、そして宿泊施設に対して共有したあらゆる情報に及ぶ。物理的な住所は流出していないと、Booking.comの広報が後から補足している。

なぜこれが「カード番号が無事だから軽微」で済まないのか。考えてみてほしい。攻撃者の手元には、あなたの名前、予約したホテル名、チェックイン日、そして宿とやり取りしたメッセージの内容まで揃っている。その状態で「ご予約の追加決済が必要です」というメールが届いたら、どれだけの人が偽物だと見抜けるだろうか。

金融情報そのものより、金融情報を盗むための「下ごしらえ」として価値がある。それが今回流出した情報の正体だ。

前例を掘り返すと、構造が見えてくる

Booking.comが顧客データを巡る問題で監督当局から処分を受けたのは、今回が初めてではない。2018年12月、UAE国内の40ホテルのスタッフが電話詐欺に遭い、Booking.comの管理画面ログイン情報を奪われた。そこから4,109人の予約情報と、283人分のクレジットカード情報（うち97件はセキュリティコード付き）が流出している。

問題はここからだ。オランダのデータ保護当局はその事案に対して2021年3月、Booking.comに47万5,000ユーロ、日本円で約8,870万円の制裁金を科した。理由は「侵入を受けたこと」ではなく、GDPRが義務付ける72時間以内の報告期限を22日も過ぎてから当局に届けたことだった。

つまり処分の対象は、事故そのものではなく「情報開示の遅さ」だった。

情報の出し方で制裁金を受けた過去を持つ会社が、5年後に同じく情報の出し方で問われている。これは偶然ではない。

侵入経路の共通項

2018年のUAE事案は、Booking.com本体を破ったわけではなかった。攻撃者は末端の宿泊施設スタッフから認証情報を奪い、そこから予約管理システムに入り込んだ。いわゆるサプライチェーン攻撃であり、旅行業界で繰り返し観測されているパターンそのものだ。

同じ構図は日本でも実害を出している。2023年以降、ホテルグランヴィア大阪、MIMARU SUITES 東京浅草、ダイワロイネットホテル、ホテルH2長崎などが、Booking.comの管理画面経由で顧客情報流出とフィッシング誘導メッセージの配信被害を相次いで公表してきた。いずれも原因は宿泊施設側の端末がマルウェア感染、あるいはスタッフの認証情報が窃取されたケースだ。

これらの事案で共通して観測されているのが、Booking.comのプラットフォーム内メッセージング機能の悪用という手口である。

攻撃者はBooking.comに組み込まれた宿泊施設・予約者間のチャット機能を使い、正規の予約スレッドの延長としてフィッシングリンクを送る。宿とのやり取りに紛れるため、通常のスパム対策では弾けない。

今回のグローバル規模の事案が同じ構造かどうかは、現時点では確認できない。Booking.com自身がその情報を出していないからだ。ただ、過去のパターンをたどる限り、本体サーバーを直接抜かれた可能性より、どこかの宿泊施設アカウントを経由した可能性のほうが自然に見える。

ユーザーにできることと、できないこと

Booking.comは該当ユーザーにPINの再発行を行い、フィッシングへの警戒を呼びかけている。対策として提示されているのは、怪しいメールのリンクを踏まないこと、ウイルス対策ソフトを使うこと、そして金銭の送金を求められたら応じないこと。

正論だ。しかし正論というのは、裏を返せば「自衛してください」を丁寧に言い換えただけという意味でもある。

どの予約情報が流出したのか、攻撃者はいつからその情報を握っているのか、フィッシングメールがいつ届くのか、届いたとして本物の宿泊先とどう見分ければいいのか。これらの問いに対して、ユーザーは何の材料も与えられていない。リスクの全体像が見えない状態で、警戒だけを要求されている。

沈黙そのものが答えになっている

事故そのものよりも、事故後の情報開示の薄さのほうが、このニュースの本質を示している。規模を言わない。時期を言わない。経路を言わない。言わないことで守られるのは、顧客ではなく、企業の評判のほうだ。

旅行者の氏名、連絡先、行き先、滞在期間、宿とのやり取り。これらが一か所に集約されているという構造自体が、攻撃者から見れば十分に魅力的な標的になる。プラットフォーム化の便利さと引き換えに、データが「一つの袋」に詰まっている。袋が破れれば、中身は全部まとめて流れ出る。

2018年の事案で、Booking.comは当局への報告遅れで制裁金を払った。2026年の今、ユーザーへの説明遅れで信用を削っている。学んだのか、学んでいないのか。答えは、次に何件と言うか、あるいは言わないかで決まる。

参照元

• BleepingComputer - New Booking.com data breach forces reservation PIN resets

他参照

• TechCrunch - Booking.com confirms hackers accessed customers' data

関連記事

• 米国サイバー犯罪被害が過去最高208億ドル突破、AIとクリプト詐欺が急増
• Windows 11 24H2偽更新サイト、検出ゼロのマルウェア配布
• セキュリティツールが武器に変わる日——TrivyとAxiosに何が起きたか
• OpenAIのmacOSアプリ署名が北朝鮮に狙われた全経緯
• CPU-Z・HWMonitor、公式サイトからマルウェア配布
• 中国スパコンから10PB流出疑惑、VPN1本で半年素通り
• Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
• LinkedInが拡張機能6000件超を密かにスキャン──個人情報筒抜けか
• Claude Code流出、Anthropicが認めた代償
• ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容