萩原高行さんに送られた「フィッシング」のメール画面(ホテル名を画像加工しています、萩原さん提供)
共同通信 世界最大級の旅行予約サイト「ブッキング・ドットコム」のシステムを悪用し、宿泊施設を装って予約客を偽のサイトに誘導してクレジットカード情報を狙う「フィッシング」の被害が続いている。被害がやまない背景には、宿泊施設の「おもてなし精神」につけ込んで情報を盗み、正規のメールを悪用して客をだますという巧妙な手口がある。 (1面に関連)
■マルウエア
「娘には食物アレルギーがあり、対象の食物をリストにまとめたので、ダウンロードしてご対応をお願いします」。国内のあるホテルに昨年8月、予約客を装う人物からメールが届いた。
ホテルの従業員は「宿泊客に安全にホテルを利用してほしい」との思いから、メールに記載のリンクからファイルをダウンロードして開くと、パソコンがマルウエア(悪意のあるソフト)に感染。ホテルがブッキング・ドットコムから提供されている、宿泊予約管理システムの利用に必要なIDとパスワードが盗まれた。ホテルの担当者は「お客さまの希望をできる限り実現したい心理につけ込まれた」と吐露した。
盗んだIDとパスワードでブッキング・ドットコムのシステムに侵入すると、宿泊施設を装って正規のメールを送れるため予約客は不正に気付きにくい。このホテルでは一斉に約500件のフィッシングメールが送信された。担当者は「通常ではあり得ない規模の一斉送信だ」と振り返る。
■酷似
海外のホテルを予約して被害に遭った人も。昨年11月、海外出張でエストニアに滞在中だった萩原高行さん(64)のスマートフォンに、ブッキング・ドットコムの公式アプリ経由でメールが届いた。送信者は2週間後に宿泊予定のポルトガルのホテルで「(登録された)クレジットカードが認証されないので予約がキャンセルになる」と記されていた。
「予約が取り消しになれば面倒だな」。欠席できない会議が予定され、新型コロナウイルス禍に伴う渡航制限の世界的な緩和で新たな予約を取りにくいことも予想された。偽サイトに別のカード情報を入力し、約11万円をだまし取られた。詐欺被害に遭ったことを説明してブッキング・ドットコムから返金を受けたが「偽サイトはブッキング・ドットコムの公式サイトに酷似していた」と話す。
■対策
巧妙なフィッシングに対策はあるのか。神戸大大学院の森井昌克名誉教授(情報通信工学)は「不審なファイルをダウンロードしないという基本的対策が重要だ。中小の宿泊施設が自前でサイバー攻撃対策を講じるのが難しければ、情報処理推進機構(IPA)が提供する中小企業向け支援事業の利用を検討してもよいだろう」と指摘する。
またブッキング・ドットコムに対しては、利用者への注意喚起策の改善を求めた。「ホームページの告知だけでなく、予約サイトを利用する際にフィッシングへの注意を呼びかける方法もあるのではないか」と話した。
