不正アクセスの概要
2023年8月10日に株式会社ホテル京阪(以下、同社)が管理している「ホテル京阪淀屋橋(以下、同ホテル)」の宿泊予約システムが不正アクセスを受け予約を行った一部の顧客に対して、不明瞭なメッセージが送信されたと公表しました。
不正アクセスの詳細と原因
同社の発表によれば、Booking.comに掲載されている同ホテルを予約した一部の顧客に対して、Booking.com上のメッセージに不正な方法で情報を詐取するための偽サイトであるフィッシングサイトへ誘導する案内とURLが表示されたとのこと。
原因としては、同社が利用して使用していたオランダのBooking.com社が提供する予約管理システムに不正アクセスがあった為です。Booking.com社の不正アクセスにより、2023年6月にホテルグランヴィア大阪、御宿 野乃 大阪淀屋橋、all day place shibuya、MIMARU SUITES 東京浅草の4施設が同ホテルと同じような被害を発表しており、同ホテル以外にも複数発生しております。
今後の対応
同社によれば、公表の時点では予約者の個人情報が流出した形跡は見当たらないとのこと。現在、実情の特定と再発を防ぐための対策を検討しています。また、問い合わせをしたユーザーには事情を説明し、URLをクリックしないように案内を実施しています。
まとめ「自社サイトのリスクも確認する機会」
今回の事例は、大手予約サイトであるBooking.comが不正アクセスされて発生した事例である為、防ぐことは非常に難しいです。しかし、今回の事例で学ぶべきことは
「大手でも不正アクセスをされるなら自社のサイトは大丈夫なのか?」
と振り返ることだと思います。「大手だから狙われる。」のでは無く「セキュリティが甘いから狙われた」のです。
ぜひ、今回の事例をメッセージとして受け取り自社のサイトに脆弱性が無いかご確認下さい。