インバウンドで需要増の観光業を標的としたサイバー脅威に対する注意喚起
2024年4月頃から、アメリカに本社を置くオンライン旅行サービス企業「エクスペディア(Expedia)社」が提供している「宿泊予約情報管理システム」を経由したフィッシング詐欺が問題となっています。
今回は、「宿泊予約情報管理システム」への不正アクセスによる情報漏えいの被害実態や、宿泊施設が把握すべき国内外の個人情報保護法をまとめます。
エクスペディアを経由した不正アクセス・情報漏えい被害の概要
2024年4月、エクスペディアが各ホテル会社に提供している「宿泊予約情報管理システム」が不正アクセスされ、一部の予約客に対してクレジットカードなどの情報を求めるフィッシングサイトへ誘導するメッセージが配信されたことが明らかになりました。
これは通常のフィッシングメールとは異なり、システム内のメッセンジャー機能を使用して不正アクセスされた宿泊業者の公式アカウントからフィッシングサイトに誘導するメッセージが送られるため、利用者が見分けることは非常に難しく、被害が続出しています。
被害を公表している主なホテル事業者は以下の通りです。
・2024.04.22 雨庵 金沢(ソラーレ ホテルズ アンド リゾーツ株式会社)
・2024.04.13 セトレならまち(株式会社ホロニック)
・2024.04.10 ONSEN RYOKAN 由縁 新宿(UDS株式会社)
漏えいした可能性がある個人情報
漏えいした可能性がある個人情報は次の通りです。
氏名(予約者、宿泊者、同伴者)
電話番号
住所
予約時のIPアドレスをもとにした国情報
メッセージ機能でのやり取りの内容
予約情報(予約番号、予約日、宿泊日程、金額)
エクスペディア社の「宿泊予約情報管理システム」を利用しているホテル事業者は、個人情報の漏えいが発生している可能性があるため、適切な調査を行う必要があります。
訪日外国人が過去最多、宿泊施設を狙うサイバー攻撃手口が急増
観光庁によると、2023年訪日客数は2506万人を超え、旅行消費額は計5兆2923億円で過去最高でした。そのうち宿泊費は1兆8289億円、約34.6%を占めました。
2023年の年間訪日外客数は、25,066,100人となった。4月の水際措置撤廃以降、訪日外客数は右肩上がりで急回復を遂げ、単月では10月に初めて2019年同月比100%を超えており、年間累計では2019年比78.6%と8割程度まで回復が進んだ。
2023年の訪日外国人旅行消費額は2019年比10.2%増の5兆3,065億円と推計される。費目別に訪日外国人旅行消費額の構成比をみると、宿泊費が34.6%と最も多く、次いで買物代(26.5%)、飲食費(22.5%)の順で多い。
訪日外国人が増加するなか、日本国内の多くの宿泊施設では、他国が運営している「宿泊予約情報管理システム」を活用して予約管理を行っています。
エクスペディア社だけではなく、2023年6月には「ブッキング・ドットコム(Booking.com)社」も不正アクセスにより、個人情報の流出やフィッシングサイトに誘導するメッセージの配信が発生しました。
ブッキング・ドットコム社のケースでは悪意ある人物が、宿泊施設に旅行者を装った偽メールを送信し、メールに記載されたリンクを経由してマルウェアに感染させ、盗んだIDやパスワードを使って、内部のシステムに不正侵入するというものでした。
そして宿泊施設になりすまし、予約客に「事前決済が必要」「予約がキャンセルになる」などの偽メールを送信するとともに不正なサイトへのリンクを記載し、予約客を誘導します。
宿泊施設から個人情報が流出すると、個人情報保護法に違反する可能性も
日本国内では、改正個人情報保護法により、個人情報が流出した場合には、漏えい対象の個人への通知や、個人情報保護委員会への報告が義務付けられています。措置命令に違反した場合の罰則として、最高額1億円以下の罰金が科されます。
インバウンド客が増加している中、日本の宿泊施設は、必然的に海外の個人情報保護法への準拠も求められるようになっています。
例えば、「EU一般データ保護規則」(GDPR)では、個人データの取り扱いに関して適切な安全管理対策を実施しなかったり、規定どおりにデータ保護責任者が配置されていなかった場合には、最大で該当企業の全世界年間売上高の2%または1,000万ユーロのいずれか高い方が制裁金として課されると定められています。
情報漏えいの被害状況を明らかにするの「フォレンジック調査」
不正アクセス、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があり、フォレンジック調査を実施することを推奨します。
フォレンジック調査は、コンピュータやネットワーク機器、ログファイルなどを分析し、不正アクセスの原因や、具体的な被害状況を明らかにする専門的な調査手法です。
調査を行わず脆弱性を放置すると、さらなる不正アクセスが発生する恐れがあるため、被害を受けた場合は、マルウェア感染や不正アクセスの調査を行い、被害を拡大させないことが重要です。
実際の被害事例
「宿泊予約情報管理システム」への不正アクセス被害について、当社デジタルデータソリューションへご相談が寄せられた事例を紹介します。
事例① フィッシングメールを送信したPCがマルウェア検知
600軒以上の宿泊施設を運営している企業。Booking.comの管理サイトのチャットからフィッシングメールが送信されているPCを調査。結果2件マルウェアが検知された。
事例② 宿泊施設から顧客宛てに2,500件以上の偽メール送信
7拠点を持つ宿泊施設が利用している予約サイトBooking.comが不正アクセスの被害に。ホテル側より2,500件以上のフィッシングメールが送信されたと判明。
事例③ 宿泊予約サイトより支払を求める偽メールが送信された
月間300万ユーザーが利用する旅行予約サイトを持つ企業の子会社。宿泊施設のBooking.com、Airbnbのアカウントより、支払を要求するフィッシングメールが50件以上送付された。
まとめ
今回のフィッシング被害は、宿泊施設側のメッセンジャー機能から発信されているため、一般のユーザーがフィッシングメッセージであることを見分けることが非常に困難です。
エクスペディアを利用するユーザーは、クレジットカード情報や認証情報などの重要な情報の入力を求められた際には、メッセージ内のURLにはアクセスせず、宿泊施設の正規の問い合わせフォームや電話等で確認することを推奨します。
エクスペディアを利用している宿泊業者は、システムやデバイスにマルウェアが感染している可能性を払拭するためにフォレンジック調査が必要です。
困ったらインシデント対応のプロにお気軽にご相談ください
当社ではサイバー攻撃・不正アクセスに関する相談・現地駆け付け対応を行っています。お困りの際は、下記までお気軽にご連絡ください。
サイバー攻撃・不正アクセスの被害を受けた際に、インシデント対応を専門に行うチームがZoom面談もしくは現地に駆け付け、現状のヒアリングと今後の対応についてご案内いたします。(Zoom面談・現地駆け付け対応ともに無料で実施中です)
デジタルデータフォレンジック 公式HP
今後も、サイバー攻撃・不正アクセスによる情報漏洩被害の撲滅に向けて、当社のサイバーインシデント対応・未然の防止を通して尽力させていただきます。
デジタルデータソリューション株式会社 公式HP
公式SNS Twitter / Facebook
この記事が気に入ったらサポートをしてみませんか?