旅行会社はあなたのデータが安全であると言うことが好きです。Booking.comはちょうど、その約束を守ることがいかに難しいかを皆に思い出させました。
アムステルダムに本拠を置く予約大手は、4月13日に「権限のない第三者」がゲストの予約データにアクセスしたことを顧客に通知し始めました。侵害された情報には、予約詳細、名前、メールアドレス、住所、電話番号が含まれています—基本的に、ホテルがゲストに接触していると信じさせるために必要なすべての情報です。
犯罪者はBooking.comのホテルパートナーを侵害することでデータにアクセスしたと思われます。マイクロソフトのレポートは、ClickFixフィッシング技術を非難しています。これは被害者(この場合はホテル従業員)にコンピュータの「修正」に偽装したマルウェアをインストールさせます。
マイクロソフトはStorm-1865という犯罪集団をこの作戦の責任者と非難し、北米、オセアニア、南アジア、東南アジア、ヨーロッパ中のホテルワーカーに対してこの種のキャンペーンを正確に実行している様子をキャッチし、偽のCAPTCHAページを通じてXWormやVenomRATなどのいやなマルウェアを展開しています。
Booking.comの顧客への通知は、露出したデータがフィッシングに使用される可能性があることを警告し、機密情報や銀行振込を要求することはないと述べました。
しかし、スキャマーは盗まれた予約データを現金に変えるための実績のあるプレイブックを持っています。彼らはホテルになりすまして予約を乗っ取り、さらなる支払いを要求するメッセージをゲストに送ったり、「支払い確認」のためのクレジットカード情報を要求することができます。盗まれたデータは彼らがホテルの顧客に自分たちが正当であると確信させるために必要なすべてを提供します。
英国のAction Fraudは、2023年6月から2024年9月の間に、このようなBooking.comスキャムの報告を532件受け取り、被害者は£370,000(約$470,000)を失いました。
これはBooking.comのパートナーと顧客に以前起こりました。2018年には、犯罪者がホテル従業員をフィッシングし、Booking.comの顧客に属するデータにアクセスしました。スキャマーはその後の年にUAEの40のホテルをターゲットにしたボイスフィッシングキャンペーンを実施しました。4,000人以上の顧客のデータが盗まれました。300人のクレジットカードデータを含みます。Booking.comはオランダのプライバシー規制当局への侵害報告が遅く、2021年に€475,000の罰金(約$560,000)を課されました。
旅行業界の繰り返される侵害問題
このような侵害は旅行ビジネスのパターンです。2026年1月、Eurailは侵害を明かし、パスポート番号、住所、そして一部の旅行者にはIDと健康データの写真コピーを流出させました。KLMとエールフランスは、2025年8月に顧客データが盗まれました。Hertz、Dollar、Thriftyはすべて、Cleoファイル転送ソフトウェアのClop gangの悪用の対象となり、犯罪者は運転免許証とクレジットカードデータを盗みました。
これらすべての事件について興味深いことは、Booking.comのデータ盗難と同様に、すべてが旅行事業自体ではなく第三者の侵害を伴うということです。旅行業界はパスポート番号、支払いカード、旅程の膨大な量を保有しています。そして、広がった供給チェーン、フランチャイズ事業、第三者プラットフォームのセキュリティ姿勢はそれを弱い標的にします。
あなたができること
何人の顧客が影響を受けたのか?Booking.comは言っていません。1億人以上のアクティブなモバイルアプリユーザーと毎月5億回のウェブサイト訪問を持つプラットフォームにとって、その沈黙は懸念を生じさせます。
最近Booking.comを使用した場合、ここに保護のための実用的なガイドがあります。プラットフォーム自体を通じて到着した場合でも、支払い詳細を「確認」するよう求めるメッセージを信頼しないでください。
ここは、この最新の事件の前に発行されたこれらのスキャムについてのBooking.com自身のアドバイスです:
「前払いポリシーまたはデポジット要件が述べられていないが、予約を確保するために事前に支払うよう求められた場合、それはスキャムである可能性があります。」
実際に何が必要で、いつまでに必要かを確認するために、予約確認メールをチェックしてください。何かがおかしい場合は、誰かが送ったリンクを通じてではなく、プロパティに直接連絡してください。そしてあなたの銀行の明細書を監視してください。この種のデータを悪用するスキャマーは常にすぐに行動するわけではありません。
