未明に届いたメール、URLをクリックしたら…「ブッキング・ドットコム」悪用 ホテルが明かした不正アクセス被害の実態
始まりは、未明に届いた予約客を装ったメール
予約客を装ったメールが届き、求められるままURLをクリックすると…。ブッキング・ドットコムの宿泊予約システムを悪用された長野県松本市のホテルが信濃毎日新聞の取材に応じ、不正アクセスの詳細な手口を明らかにした。 【写真】「認証エラーによりご予約が…」偽のメッセージ全文
内容は…予約したけれど不具合があって
このホテルに不審なメールが届いたのは昨年9月13日午前1時ごろ。文章は英語、送り主の名は外国人だった。ブッキング・ドットコムで予約したが、ホテルとメッセージをやりとりするチャット機能がうまく使えない―と訴える内容。「ここでやりとりしたい」とURLが記載されていた。ホテルスタッフは、同じ名の予約が実際に入っていることを確認した上でURLをクリックした。
指定されたURLをクリックしたら…
現場責任者の男性は具体的に何が起きたかは把握できていないとしつつ、その後に起きた被害から「URLをクリックしたことで、宿泊予約システムにアクセスするホテルのIDとパスワードが抜き取られた」と推測する。
その後、ホテルを装った偽メッセージが実際の予約客に送信されるように
それ以降、ブッキング・ドットコムを通じて予約した客に対し、ホテルを装った偽のメッセージがチャット機能を使って送信されるようになった。同じようにURLが記載されており、予約客がクリックすると、クレジットカード情報の入力を求めるページに移る仕組みだった。
「お金を取られた。どうしてくれるのか」被害の問い合わせ20件
「カード情報を入力してしまった」「お金を取られた。どうしてくれるのか」。ホテルに対し、被害を訴える問い合わせが20件ほど寄せられた。ほとんどが海外の予約客だった。
朝になって現場責任者の男性はホテルに出社。スタッフから被害報告を受けた。すぐに、宿泊予約システムにアクセスするためのパスワードを変更。予約客に対し、「URLを開かないでください」と注意喚起のメッセージを送った。
メールの送り主は結局、宿泊当日、現れなかった。
このホテルでは半年先までの予約を受け付けている。正確には把握できていないが、予約客に送られた偽のメッセージは「予約状況からすると1千件ほどとみられる」。
「迷惑をおかけして申し訳ない」と現場責任者の男性。メールの送り主の名で実際に予約が入っていただけに対応の難しさを感じたが、予約客からのメールでも疑わしいURLは開かないよう対応を改めた。