2025年12月31日、大和ハウスリアルティマネジメント株式会社およびダイワロイネットホテルズ株式会社は、同社グループが運営するダイワロイネットホテルズにおいて利用している、Booking.com(ブッキングドットコム)提供の宿泊予約情報管理システムが、第三者による不正アクセスを受けたと発表しました。
この不正アクセスにより、ホテルを予約した一部の利用者に関する情報(個人情報を含む)が外部に流出した可能性があるとしています。
フィッシング被害の可能性
今回の事案では、予約情報が不正に取得された可能性に伴い、
「ダイワロイネットホテル名古屋新幹線口」
「ダイワロイネットホテル京都テラス八条 PREMIER」
「ダイワロイネットホテル仙台西口 PREMIER」
を予約した一部の利用者に対し、WhatsAppなどを通じてクレジットカード情報を詐取する目的のフィッシングサイトへ誘導するメッセージが配信された可能性が確認されています。
現時点では、これら3施設以外のホテルを予約した利用者にも、同様のメッセージが送信される可能性があるとして、注意が呼びかけられています。
公式見解と利用者への注意喚起
同社グループは、「WhatsApp、メール、予約サイト上のチャットなどを通じて、クレジットカード情報の入力や支払いを求めることは一切行っていない」と明言しています。
そのため、身に覚えのない支払い要求や、リンク付きのメッセージを受信した場合には、
-
メッセージ内のリンクや添付ファイルにアクセスしない
-
Booking.comまたはホテル運営会社に直接問い合わせる
といった対応を取るよう呼びかけています。
企業側の対応状況
不正アクセスを受けたことを受け、同社グループでは以下の対応を実施しています。
-
フィッシングメッセージが届く可能性のある利用者への注意喚起メッセージの配信
-
ダイワロイネットホテル全施設におけるBooking.com管理アカウントのログインパスワード変更
-
Booking.comと連携した詳細調査の継続
調査結果や追加で判明した事実については、今後あらためて公表するとしています。
想定される攻撃手法
今回の事案は、宿泊予約管理システムのアカウントが第三者に不正利用されたことで、予約情報が閲覧・悪用された可能性があるケースです。取得された情報を基に、正規のホテルや予約サイトを装ったフィッシング攻撃が行われたとみられます。
特に、予約情報を把握した上で送られるメッセージは、利用者にとって本物と見分けがつきにくく、クレジットカード情報の入力を誘導する典型的な手口とされています。








