フォレンジック・ニュース最前線①

皆さんの中にもホテル予約の際に「Booking.com」を利用したことがある人は多いと思います。最近このBooking.comに関連したフィッシング詐欺が多数発生しており、その内容について紹介したいと思います。

日常に潜むフィッシング詐欺とは

まず「フィッシング詐欺」について簡単に説明します。フィッシング詐欺とは、インターネット上で行われる詐欺の一種で、実在のサービスや企業をかたり、偽のメールやSMS（携帯電話のショートメッセージ）を送信し、個人情報（銀行口座情報やクレジットカード情報など）を搾取するものです。

最近では、攻撃者が銀行や宅配業者をかたって本物と見分けがつかない偽のサイトに誘導したり、実在する企業のメールアドレスになりすましたメールを送信したり、官公庁を名乗り偽の注意喚起のメールを送信したりと、様々な誘導方法が確認されています。

今回ご紹介するBooking.comに関連したフィッシング詐欺の場合には上記のケースとは少し異なり、Booking.comを通じてホテルを予約したユーザに対して、その予約したホテルを装って「事前決済が必要」などと嘘のメッセージをBooking.comのチャット機能やメール送信機能を利用して送付し、攻撃者に支払いが行われるクレジットカードでの支払い要求をするという事象でした。

Booking.comを使っているホテル運営企業へのサイバー攻撃

なぜBooking.comのチャットやメールにもかかわらず、偽サイトに誘導されるのかというと、まずその前段階にホテル内でBooking.comが提供する宿泊予約情報管理システムを扱うPCがマルウェアに感染してしまっていたことに起因します。

その後マルウェアに感染したPCを利用してホテル内の予約情報管理システムが不正アクセスを受け、宿泊予約をしたユーザに対してフィッシングサイトへ誘導するメッセージが送信され、過去にそのホテルをBooking.comを通じて予約した一部のユーザの個人情報が第三者に閲覧されました。

ホテルを運営する多くの企業においても、上記と同様のBooking.comに関連したフィッシング詐欺事例が発生したことが公表されています。

ホテル側のフィッシング詐欺対策

Booking.comの宿泊予約情報管理システムを利用していた企業としては、システムを管理していたPCの権限が乗っ取られてしまい、宿泊予約者にメッセージが送信される事象のため、Booking.comは、下記のようなアカウント不正利用を防ぐ対策を講じる必要があると推奨しています。

上記のような対策を講じていたとしても、万が一、マルウェアに感染して不正アクセスを受けてしまい顧客情報が漏えいした場合には、被害者への対応や個人情報保護法に従って適切な対応措置を講じる必要が発生します。

宿泊者・予約者の氏名などの個人情報や、支払に利用したクレジットカード情報など、どのような種類の情報が漏えいした可能性があるのか、どのような情報にアクセスされた可能性があるのかを特定していく必要があります。

またマルウェアの感染経路や、宿泊施設内で利用している管理システムの脆弱性、従業員が利用している他のPCがマルウェア感染していないかも調査して適切な対策を講じる必要があります。

このように企業において不正アクセスや情報漏洩などのセキュリティインシデントが発生した場合には、原因究明や調査結果の公表のためにフォレンジック調査を行うことも有効です。

TMIP&Sにおいても、セキュリティインシデント有事対応サービスを提供しており、これまでにも数多くの対応実績がございますのでインシデント発生の際にはお問い合わせください。

また平時からのサイバーセキュリティ体制の構築支援も行っております。