2025年に発生したホテル業や宿泊業へのサイバー攻撃や不正アクセスの事例と対策

2025年に発生したホテル業や宿泊業へのサイバー攻撃や不正アクセスの事例と対策

2025年に発生したホテル業や宿泊業へのサイバー攻撃や不正アクセスの事例と対策 資料概要

本資料は、2024年末から2025年にかけて国内外で発生・公表された、ホテル業・宿泊業を標的とした主要なサイバー攻撃・不正アクセス事例を分析したレポートです。

予約システム、外部予約サイト(Booking.com / Trip.com 等)、委託先ベンダー基盤、公式SNS、従業員端末といった、ホテル 宿泊業特有の「外部接点が多いIT環境」がどのように狙われ、どの段階で被害が拡大したのかを、実際の10事例をもとに整理しています。

また、単なる事例紹介にとどまらず、
「なぜ被害が起きたのか」「どの対策が不足していたのか」「何を優先的に見直すべきか」という実務視点で、
宿泊業に共通するリスク構造と、現実的な横断対策を提示しています。

資料の内容

全12ページで以下のような内容を解説

  • Booking.com偽装「ClickFix」攻撃の詳細解説

    • ユーザー自身にPowerShell実行を促す、新しい自発的実行型マルウェアの脅威と対策を解説

  • 予約システムの委託先侵害

    • 東急ホテルズ&リゾーツ、ホテルニューグランド、京王プラザホテルなどが、委託先である「Preferred Travel Group (PTG)」への不正アクセスにより顧客情報流出の可能性に直面しました

  • OTA管理画面への不正アクセス
    • シャトレーゼホテル長野(Booking.com)や那覇東急REIホテル(Trip.com)にて、管理システムへの不正ログインが発生し、顧客へのフィッシング誘導などが確認されました
  • 海外プラットフォーム経由の漏洩: 丸ノ内ホテルでは海外向け予約基盤「Cendyn」への不正アクセスが発生し、クレジットカード情報を含む個人情報が漏洩した可能性があります
  • 経営層・情シス・現場が共通理解を持つための資料

    • 技術論だけでなく、説明責任、ブランド保護、業務継続の観点で整理された実践的レポート