Booking.com利用者必見!本物の予約情報を使うフィッシング詐欺継続中
公開日:
※当サイトはアフィリエイトプログラムを利用しています。
旅行の予約をBooking.comで完了した後、公式アプリのチャット画面に「クレジットカードの再認証が必要です。24時間以内に手続きをしないと予約がキャンセルされます」というメッセージが届いたとしたら。
メッセージには自分の予約番号と宿泊予定日が正確に記載されている。ホテルの名前も合っています。
チャット画面はBooking.comの公式アプリ内。これのどこを疑えというのでしょうか。
2023年6月以降、Booking.comを経由したフィッシング詐欺が深刻化しており、現在も被害報告が続いています。
そして2026年4月13日、Booking.comはついに不正な第三者が顧客の氏名・メールアドレス・電話番号・予約詳細などの個人情報にアクセスした可能性があることを正式に認めました。
長らく「自社のシステムは無関係」という立場を取り続けてきたBooking.comが、自ら情報流出を認める事態となったのです。
二つの経路で個人情報が流出していた
この問題が厄介なのは、攻撃の経路が一つではなかった点なんですね。
経路①:加盟ホテルを起点とした攻撃
攻撃者はまず、宿泊客を装ってホテルにメールを送ります。
「食物アレルギーの対応を確認したい」「到着が遅れる旨の書類を添付する」そんな自然な内容で添付ファイルを開かせ、Infostealer(インフォスチラー)と呼ばれる情報窃取型マルウェアをホテルのPCに感染させます。
国内で被害を公表した施設のうち、不正アクセスの原因を明らかにした12件はすべてホテル端末のマルウェア感染でした。
ホテルスタッフのPCへの侵入には、偽BSODを使ったClickFix攻撃「PHALT#BLYX」が使われています。この手口の詳細は別記事にまとめています。
偽のブルースクリーンでPC感染?最新攻撃「PHALT#BLYX」の手口と対策
感染したPCからBooking.comの施設管理システムへのログイン情報が盗まれると、攻撃者はそのホテルの正規アカウントとしてシステムにログインし、本物の予約客リストを閲覧できる状態になります。
乗っ取ったアカウントからBooking.comの公式アプリを通じて予約客に直接メッセージを送り、偽の決済ページへ誘導。
「extraknet-booking.com正規ドメインとわずか一文字違いのURLが使われており、警戒心の強いユーザーでも欺けるよう設計されています。
※アプリ画面の画像は生成AIによるもので、本物のアプリ画面ではありません。
経路②:Booking.com本体からの情報流出
2026年4月13日、Booking.comは予約客への通知を開始。流出した可能性のある情報は予約詳細・氏名・メールアドレス・住所・電話番号。
ホテルがゲストへの連絡を装うために、必要なものがすべて含まれていることになります。
金融情報へのアクセスはなかったとされていますが、影響を受けた顧客数についてBooking.comは明らかにしていません。
月間5億回のウェブサイト訪問数を誇るプラットフォームでの沈黙は重いといえますね。
日本国内の被害状況
これは海外だけの話ではありません。
2023年の発生後には、観光庁から注意喚起がなされています。
国内の宿泊施設では2024年1月末時点で80件のプレスリリースが確認されており、その約8割で不正アクセスが併発していました。
2024年1月だけでも、ドーミーイン・THE THOUSAND KYOTO・グランドニッコー東京ベイ舞浜など大手ホテルグループを含む9社13施設が注意喚起を出す事態となっています。
年末年始やゴールデンウィークのような、一年で最も忙しい時期が狙われるため、2026年のゴールデンウィーク前後から被害が再び加速し、10を超えるホテルグループが相次いで注意喚起を表明。
Booking.com日本法人は「自社のバックシステムへのアクセスの形跡はない」という立場を取り続けていましたが、2026年4月の本体からの流出確認によって、その前提は崩れた形となりました。
なぜフィッシングを見破りにくいのか
通常のフィッシング詐欺であれば、「送信元アドレスがおかしい」「URLが公式ドメインと違う」といった手がかりで判断できます。
セキュリティ意識の高い人ほど、ほころびを探す方法がわかってもいますよね。
今回の手口はその判断基準を根本から無効化していることになる。
本物の予約情報が本物のチャンネルで届く。ホテル経由の攻撃であれば乗っ取られた正規アカウントから、Booking.com本体からの流出であれば盗まれた本物のデータから。
どちらのルートでも、メッセージには架空の情報がひとつもないのです。
すでに盗まれた予約情報を使ったWhatsApp経由のフィッシング攻撃が実際の被害者に届いており、攻撃者はその情報を武器化しています。
さらに攻撃手法も進化しています。
Microsoftの脅威インテリジェンスは2024年12月、Booking.comになりすましてホテル業界を狙うフィッシングキャンペーンを確認していて、ClickFixと呼ばれるソーシャルエンジニアリング手法でマルウェアを配信するこのキャンペーンは2025年2月時点でも継続されています。
見破ろうとしないという防御策
通常のフィッシングへの対策は「見破ること」です。しかしこの手口に対しては、その方法が通用しません。
なにしろ、本物の情報が本物のルートで届くのだから、見た目で判断しようとすれば必ず騙されてしまいます。
有効な防御の発想は、「このプラットフォームが本来やらないことを要求しているか」を判断基準にすること。
Booking.comはアプリ内チャットから外部の決済URLへ誘導しません。
予約完了後に「クレジットカードの再認証」を求めることもありません。
メッセージの内容が本物そっくりであっても、要求の内容がおかしければ詐欺というわけ。
さらに具体的な対処を補足すると
別ルートで確認
「24時間以内にキャンセル」という言い回しは焦りを誘う定番の文句。
急かされてもチャットには返信せず、ホテルの公式サイトに載っている電話番号に直接かけて事実を確認する。
支払い条件を思い出す
予約時にすでに決済済みのプラン、または現地払いのプランであれば、後から「カードの再認証」を求められる理由はないこと。
被害に遭ったら即カード停止
リンク先でカード情報を入力してしまった場合は、すぐカード会社に連絡して利用停止・番号変更を依頼する。
私たちは何を信じればいいのか
フィッシング詐欺はこれまで、送信元の偽装しや公式ロゴを模倣で、「偽物をいかに本物らしく見せるか」という方向で進化してきました。
そして、私たちの対策もまた、「偽物を見破る」という方向で積み上げられてきました。
今回の手口はその構図を根本から変えました。偽物を本物らしく見せるのではなく、本物の経路に乗り込んで本物の情報を使う。
ユーザーが安全の証拠として頼ってきた、公式アプリ、正規のアカウント、自分の予約データなどが、そのまま攻撃の道具となったのです。
問題が表面化したのは2023年のことです。ホテル経由の攻撃、Booking.com本体からの流出、WhatsAppを使った直接攻撃など経路は増え続け、2026年に入った今も収束していません。
Booking.comを含む旅行業界は、膨大な個人情報を抱えながら、フランチャイズ運営や外部プラットフォームへの依存という構造的な脆弱性を持っており、格好の標的であり続けています。
旅行業界に限ったことではなく、プラットフォームを信頼することと、そのプラットフォームを経由した要求を鵜呑みにすることは、切り離して考える必要があります。
あわせて読みたい
見破れる?AIが仕掛ける最新フィッシング詐欺 脅威の裏側と対策
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは
LINEフィッシング詐欺の手口と対策|あなたの信頼が狙われている
Web3フィッシング詐欺の手口と対策|承認一つで全資産を失う罠と防衛習慣
【マルウェア対策】感染の兆候や感染予防まとめ【感染したかも?!】
パスワードなどが漏洩していないか「Have I Been Pwned?」という無料サービスをまとめ