Booking.com予約詐欺、二段階フィッシング信頼悪用の罠
予約情報が信用を奪う新型詐欺の輪郭
Booking.comをかたるフィッシング詐欺が厄介なのは、差出人名やロゴが似ているだけではない点です。実在する宿泊施設名、チェックイン日、予約者名、時には宿泊料金まで示されるため、利用者は「自分の予約を知っているなら本物だ」と判断しやすくなります。
従来のフィッシングは、粗い日本語や不自然なURLを見抜けるかが焦点でした。いま問題になっているのは、宿泊施設側の管理画面や周辺システムを先に狙い、そこで得た予約文脈を使って旅行者をだます二段階型の攻撃です。夏休みや連休前の焦り、旅行前の決済確認という自然な業務連絡が、攻撃者にとって最も強い説得材料になっています。
本稿では、海外で確認された公開情報を基に、なぜBooking.com利用者が狙われるのか、宿泊施設の現場にどんな侵入口があるのか、旅行者と宿泊事業者がどこで被害を止められるのかを整理します。
二段階フィッシングを成立させる侵入口
宿泊施設アカウントの奪取
二段階フィッシングの第1段階は、旅行者ではなく宿泊施設側を狙う攻撃です。ホテルや民泊事業者は、Booking.comの管理画面、PMS、チャネルマネージャー、決済サービス、問い合わせ用メールなど、複数のシステムを日常的に使っています。現場担当者は予約変更、キャンセル、本人確認、領収書発行に追われるため、急ぎの連絡に見えるメールや添付ファイルを開きやすい環境があります。
TechRadarが報じたSekoiaの分析では、攻撃者が宿泊施設やBooking.com関連アカウントの利用者にフィッシングメールを送り、偽のreCAPTCHA画面を経由してPureRATという遠隔操作型マルウェアをインストールさせる手口が紹介されています。このキャンペーンは2025年4月ごろから活動が確認され、同年10月時点でも稼働していたとされます。マルウェアは入力内容やファイルへのアクセスを狙えるため、予約管理に使う端末が侵害されると、宿泊者情報が攻撃者の手元に渡る危険が高まります。
さらに、同報道ではBooking.comの施設管理用アカウントから得られるデータが闇市場で価値を持つと説明されています。ここが旅行者向け詐欺との違いです。攻撃者は最初から一般利用者にばらまくのではなく、宿泊施設の「業務に必要な情報の集約点」を狙います。製造現場でいえば、生産ラインの端末そのものより、受注・納期・出荷指示がまとまる管理端末を押さえる発想に近い構造です。
予約文脈を使う偽決済導線
第2段階では、実際の予約情報を使って旅行者に接触します。米WIREDが報じたNortonの分析では、少なくとも350のホテル、民泊、モーテル、ゲストハウスが関係し、50カ国にまたがる「reservation hijacking」の事例が確認されています。対象施設のピーク時収容力は約8万人分と推計され、攻撃者はホテル名、日付、価格などを組み込んだ偽ページを使っていました。
この手口では、攻撃者が「カード確認が必要」「支払いが完了していない」「確認しないと予約が取り消される」といった文面を送ります。旅行者がリンクを開くと、Booking.comや宿泊施設に似せた偽サイトに誘導され、カード情報やログイン情報を入力させられます。偽サイトにチャットボットを置き、入力された情報を即時に攻撃者へ送る例も報じられています。
重要なのは、攻撃者が必ずしもBooking.com本体を直接侵害しているとは限らない点です。WIREDの記事では、Nortonの研究者が「ホテル内部システムの直接侵害だけに原因を限定できない」と説明し、第三者の予約サービス、過去のデータ流出、宿泊施設スタッフへのフィッシングなど複数の経路を挙げています。つまり、利用者から見ると同じ「Booking.comをかたる詐欺」でも、侵入口は宿泊施設、委託先、管理ソフト、メールアカウントなどに分散している可能性があります。
2026年4月には、Booking.comが一部顧客に対して予約情報への不正アクセスを通知したと、The GuardianやTechRadarが報じました。アクセスされた可能性がある情報には、予約内容、氏名、メールアドレス、住所、電話番号、宿泊施設に共有した内容が含まれ得る一方、金融情報はアクセスされていないとの説明も伝えられています。カード番号が直接漏れていなくても、予約情報があれば偽の支払い確認を信じさせる材料になります。
旅行者が見落としやすい危険信号
公式メッセージに見える罠
この詐欺が一般的な迷惑メールより危険なのは、通常の判定基準が効きにくいことです。The Guardianは2025年、英国のAction Fraudに対し2023年6月から2024年9月までにBooking.com関連詐欺の報告が532件寄せられ、被害総額が37万ポンドに達したと報じました。報道では、攻撃者が宿泊施設側をフィッシングで狙い、顧客にWhatsAppやBooking.comの実際のプラットフォーム経由で連絡する可能性が指摘されています。
実際のプラットフォーム内メッセージや、公式に見える送信元から連絡が来た場合、旅行者は「アプリ内だから安全」と考えがちです。しかし、宿泊施設側のアカウントが奪われていれば、見た目は通常の連絡に近くなります。2023年にも、Booking.comの予約者が公式アドレスに見えるメールでカード情報入力を求められた事例が報じられており、同社は一部の宿泊施設アカウントで不審な活動を確認した顧客に警告を送っていました。
FTCは一般的なフィッシングの特徴として、不審なログイン、支払い情報の問題、個人情報の確認、リンクからの決済要求などを挙げています。Booking.com型の詐欺も、まさにこの型を旅行予約の文脈に差し替えたものです。違いは、攻撃者が「あなたの宿泊日」を知っている点です。個人に合わせた情報が入るだけで、同じ詐欺文面の説得力は大きく変わります。
支払い条件の照合手順
旅行者が最初に確認すべきなのは、メッセージの真偽そのものではなく、予約時に示された支払い条件との整合性です。事前決済なし、現地払い、キャンセル無料と表示されていた予約で、出発直前に別サイトでカード確認を求められた場合は危険信号です。Booking.comの公式アプリやWebサイトの「予約詳細」に入り直し、支払い済みか、追加決済が必要か、宿泊施設のポリシーと一致しているかを確認する必要があります。
リンクを押す前に、メールやメッセージ内のURLを信じないことも重要です。TechRadarは2025年、Booking.comを装ったフィッシングでURL内に日本語の「ん」を混ぜ、正規のスラッシュに見せかける手口を報じました。モバイル画面ではURL全体が見えにくく、短縮URLやリダイレクトが重なると、利用者が目視で判別するのは難しくなります。だからこそ、メッセージから飛ぶのではなく、ブックマークや公式アプリから予約詳細を開く習慣が必要です。
支払いを求められたら、宿泊施設に直接確認するのが安全です。ただし、メッセージ内に書かれた電話番号やメールアドレスを使うと、攻撃者の連絡先に誘導される可能性があります。Googleマップ、宿泊施設の公式サイト、Booking.com上の予約詳細にある連絡先など、別経路で確認できる情報を使うべきです。FTCも、疑わしいメールやSMS内の情報ではなく、自分が本物と知っている電話番号やWebサイトから連絡するよう促しています。
もしカード情報を入力してしまった場合は、まずカード会社に連絡し、利用停止、再発行、不審利用の調査を依頼します。ログイン情報を入力した場合は、Booking.comだけでなく、同じパスワードを使い回したサービスも変更が必要です。二要素認証を有効にしていても、フィッシングキットがワンタイムコードやセッション情報を狙う例は増えています。安心材料ではなく、防御層の一つとして考えるべきです。
宿泊業に求められる現場セキュリティ再設計
宿泊業側に必要なのは、従業員への注意喚起だけではありません。予約情報を扱う端末、メール、管理画面、委託先ツールを一つの業務プロセスとして見直すことです。Booking Holdingsの2025年年次報告書でも、同社はNISTフレームワークを用いたサイバーリスク管理、従業員向け訓練、フィッシングテスト、第三者サービスのリスク評価に触れています。同時に、既存の対策がすべての攻撃を防げるわけではなく、脅威は継続的に高度化しているとも説明しています。
小規模宿泊施設ほど、予約担当者が接客、清掃手配、会計、問い合わせ対応を兼ねることが多く、セキュリティ専任者を置きにくい現実があります。だからこそ、複雑な規程よりも、管理画面への多要素認証、端末の自動更新、権限の最小化、共有アカウントの廃止、予約情報を扱う端末と私用メールの分離といった基本施策が効きます。現場が毎日使う仕組みに組み込まれていなければ、繁忙期には運用が崩れます。
今後のリスクはさらに拡大します。TechRadarは2026年、Huntressの報告を基に、AIを取り込んだPhishing-as-a-Serviceが個別文面を量産し、2026年初めの検知数が前年後半から大幅に増えたと報じました。宿泊予約は、氏名、日付、場所、金額、同行者、到着予定時刻という文脈を最初から持っています。生成AIで自然な多言語メッセージを作れるようになれば、日本語の違和感だけで見抜く対策は急速に弱くなります。
事業者は、被害が起きた後の連絡手順も先に決める必要があります。施設アカウントの不正利用が疑われた時点で、Booking.comへの報告、顧客への注意喚起、カード情報入力を避ける案内、端末隔離、パスワードリセットを同時に進める体制が必要です。予約客に伝える文面は短く、リンクを含めず、公式アプリや電話での確認に誘導するのが望ましい対応です。
予約前後に徹底したい確認行動
Booking.comを狙う二段階フィッシングは、旅行者の不注意だけで片づけられる問題ではありません。宿泊施設側の業務端末、予約管理システム、外部サービス、公式メッセージ機能がつながることで、攻撃者は本物らしい文脈を作れるようになっています。被害を減らすには、利用者の確認行動と事業者の運用設計を同時に強くする必要があります。
旅行者は、支払いを急がせる連絡、予約取消しをほのめかす連絡、別サイトでカードを入れさせる連絡を受けたら、いったん作業を止めるべきです。公式アプリやWebサイトに入り直し、予約時の支払い条件と照合し、宿泊施設には別経路で確認します。事業者は、多要素認証と権限管理を標準にし、予約情報を扱う端末を攻撃の入口にしない運用へ変える必要があります。予約情報を知っている相手ほど疑うという発想が、次の旅行を守る基本線です。
参考資料:
- Booking.com warns customers of hack that exposed their data
- Booking.com confirms reservation data breach — tells customers hackers may have been able to access certain booking information
- Scammers Are Using Your Real Hotel Reservations to Trick You With Spear-Phishing Attacks
- Reservation Hijacking Scams Target Travelers. Here’s How to Stay Safe
- Your reservation is at risk: beware the Booking.com scam
- More Booking.com customers come forward about scam confirmation emails
- Major phishing attack hits hotels with ingenious new scam that also spreads dangerous malware
- Booking.com phishing scam uses secret characters to trick victims
- How To Recognize and Avoid Phishing Scams
- Booking Holdings 2025 Annual Report
- FBI reports scam losses of nearly $17B in 2024
- EvilToken PhaaS group ramp up AI-enabled attacks by 1,380% in 2026
関連記事
AI検索が詐欺の入口に?新手口と防衛策
AI検索の盲点を突く新手詐欺が拡大。ChatGPTなどが示す電話番号や推薦先が偽窓口・詐欺サイトへ誘導される仕組みを整理し、検索代替として生成AIを使う時代に必要な確認手順と具体的な防衛策を分析。若年層の情報依存が進む背景と、だまされない見分け方まで読み解く。実例ベースで解説。被害回避の勘所を押さえる。
ワールドカップ詐欺急増で観戦者と企業が同時に狙われる深層と対策
2026年ワールドカップでは偽チケット、無料配信、QRコード、偽FIFAサイトが観戦者を狙い、企業の従業員端末や取引先にも波及しています。大会関連ドメイン急増やFBIの損失統計、旅行・配信を装う手口を踏まえ、個人の観戦行動がなぜ職場の情報漏えいに直結するのか、企業と家庭の備えを具体例とともに詳しく解説。
自宅ルーター悪用の深刻な現実、IoT犯罪中継から家を守る最新対策
家庭用ルーターやネットワークカメラが乗っ取られると、DDoS攻撃や不正アクセスの発信元に見える危険があります。NOTICEの2026年5月観測では推測容易なID・パスワード機器が月1万1315件。米司法省のSOHOルーター事案も踏まえ、警察沙汰を避ける点検、更新、買い替え判断を家庭側の実務として解説。
ミュトス級AI攻撃で変わる日本企業の防衛常識とSaaS運用対策
AnthropicのClaude Mythos PreviewやMandiantの22秒ハンドオフは、AIが攻撃の速度と規模を変えたことを示す。SaaS、ID、バックアップ、ログ管理を軸に、日本企業が「止めないIT」から「止められても復旧できるIT」へ移る要点を、経営判断と現場運用の両面から詳しく解説。
Claude Mythos級AIで変わる脆弱性対策と企業防衛
AnthropicのClaude Mythos Previewは、未知の脆弱性発見と悪用検証を機械速度へ押し上げた。Project Glasswing、Googleの脅威分析、CISAの指針をもとに、企業がパッチ管理、開発工程、サプライチェーン防衛、人材配置、経営判断を現実的にどう再設計すべきかを解説。
最新ニュース
ベルギーSTVV黒字経営を支えるDMMと日本企業連合の仕組み
DMMが2017年に買収したベルギー1部STVVは、ジャパネットの19.9%出資と140社超の日本スポンサーを加え、放映・旅行・人材育成を束ねる独自モデルを形成。赤字体質が根強い欧州クラブ経営で、地方小クラブが黒字を狙える理由と、日本企業連合に残る移籍市場・為替・統治リスクを国際事業の視点から解説。
ヘリコプターペアレントが東大生のうつを深める家庭内支配の構造
東大生のメンタル不調は個人の弱さだけでなく、親の過干渉、受験後の空白、孤立した学業環境が重なる構造問題です。53研究のメタ分析では過干渉が抑うつ・不安や自己効力感低下と関連。東大・JASSOの学生支援資料から、親子が自立を取り戻す距離感と相談先の作り方を教育とキャリア形成の視点で丁寧に具体的に解説。
JX金属、半導体材料増産で試される脱資源シフトと銅市況リスク
JX金属はInP基板へ最大1200億円、既公表分込みで約1500億円を投じ、半導体材料の成長を急ぐ。スパッタリングターゲットやプローブカード材料にも増産が広がる一方、銅精鉱条件の悪化や中東危機影響は重い。上場後の資本政策、価格改定、稼働時期を手掛かりに、AI需要を収益に変える条件と投資家が見るべき論点を整理する。
シモジマを包装問屋からIP企業へ変えたストップペイル再生戦略
創業1920年のシモジマは包装資材商社でありながら、ストップペイルなど昭和レトロ柄をライセンス資産に転換しました。2026年3月期売上648億円、営業利益34億円の本業基盤、相次ぐアニメ・小売コラボ、IP化の収益性とブランド鮮度リスクを会計視点で読み解く。懐かしさを利益に変える条件と投資家の注目点を解説。
公務員就職に強い大学ランキングで見る進路選びの新常識と注意点
広島大学が国家公務員、日本大学が地方公務員で存在感を示す背景を、2025年度国家公務員試験の倍率、官庁訪問、大学の公務員講座、地方自治体との連携から分析。就職率98.0%の売り手市場でも公務員を選ぶ意味と、広島大と日大の事例から受験生が大学ランキングを進路選択に使う際の見方と注意点を具体的に詳しく解説。