2025年版 ホテル・宿泊業を襲う不正アクセスやサイバー攻撃や個人情報漏洩の事例と対策

本記事では、2024年末から2025年にかけて発生した主要なインシデント事例を基に、情報システム部門が今すぐ見直すべき対策について解説します。

新たな脅威「ClickFix」：従業員自らにマルウェアを実行させる罠

最も警戒すべきと感じたのが、Booking.comなどを装った「ClickFix」と呼ばれる攻撃手法です。これは従来の「添付ファイルを開かせる」攻撃とは一線を画しています。

何が起きたか

攻撃者は、Booking.comやCloudflareなどの管理画面に偽装したサイトへ誘導します。そこで「認証のため」や「エラー修正のため」と称して、非常に具体的なキーボード操作を指示します。具体的には「Windowsキー＋R」を押し、続いて「Ctrl＋V」で貼り付けを行い、最後に「Enter」を押すよう誘導するのです 。

概要と技術的仕組み

この一連の操作は、Windowsの「ファイル名を指定して実行」ダイアログを呼び出し、攻撃者が用意した悪意あるPowerShellスクリプトをクリップボード経由で流し込む行為です 。 技術的に興味深いのは、JavaScriptを用いてPowerShellスクリプトをクリップボードにコピーさせている点、そしてUser-Agentを確認してWindows OS以外のアクセスでは攻撃を実行しないという、ターゲットを絞り込む巧妙な設計がなされている点です 。

原因

原因は、システムの脆弱性ではなく「人の脆弱性」を突かれたことにあります。

しかし、これを「従業員の不注意」だけで片付けるのは危険です。

この攻撃の恐ろしい点は、ブラウザの保護機能や一般的なアンチウイルスの検知をすり抜けるために、正規のシステム管理ツールであるPowerShellを悪用（Living off the Land攻撃）していることです。マルウェアそのものをダウンロードさせるのではなく、コマンドを実行させることで、XWorm RATやPure Logs Stealerといった遠隔操作ツールに感染させ、組織内ネットワークへの横展開（ラテラルムーブメント）を許してしまいます 。

サプライチェーンの死角：PTGおよびCendynへの不正アクセス

自社のセキュリティをどれほど堅牢にしても、防ぎきれないのが委託先（サプライチェーン）経由の事故です。2025年には、複数のホテルが共通して利用している予約プラットフォームが狙われました。

何が起きたか

2025年4月から5月にかけて、東急ホテルズ＆リゾーツ、ホテルニューグランド、京王プラザホテルなどが相次いで個人情報漏洩の可能性を公表しました 。これらは個別の攻撃ではなく、共通の委託先である米国法人「Preferred Travel Group（PTG）」の予約システムが外部から侵害を受けたことによるものです 。また、丸ノ内ホテルでは「Cendyn Group」の予約基盤への不正アクセスも発生しています 。

概要

PTGの事例では、2024年10月から2025年1月にかけてシステム内に保管されていた予約データが対象となりました 。漏洩した項目には、氏名や住所だけでなく、クレジットカードの名義人や下4桁が含まれているケースもありました 。 一社単独の被害ではなく、同じシステムを利用している多数の施設で同時多発的に被害が発生した点が特徴です 。

原因

根本的な原因は、複数のホテルで共有されるプラットフォーム（予約基盤）自体が侵害されたことにあります。ホテル側から見れば、正規の契約に基づき利用している外部サービスが攻撃を受けた形です。

グローバルに展開する予約システムは攻撃者にとって「一度の侵入で多数のデータを盗める」魅力的な標的です。私たち情シス部門としては、委託先のセキュリティ監査や、インシデント発生時の連絡体制（SLA含む）が契約上どうなっているか、早急に見直す必要があるでしょう 。

管理画面の認証突破とSNS乗っ取り：二次被害の拡大

ID・パスワードの管理不備も、依然として大きなリスク要因です。

何が起きたか

シャトレーゼホテル長野や那覇東急REIホテルではBooking.comやTrip.comといったOTA（オンライントラベルエージェント）の管理画面へ第三者が不正ログインを行いました 。また、関空泉大津ワシントンホテルでは公式Instagramアカウントが乗っ取られる事案も発生しています 。

概要と被害の連鎖

単に情報が見られただけではありません。シャトレーゼホテル長野の事例では、Booking.com経由で予約した顧客に対し、ホテルを装ってフィッシングサイトへ誘導するメッセージが配信されました 。これは、正規の管理画面からメッセージが送られるため、顧客が騙される確率が極めて高い「二次被害」を生む攻撃です 。 Instagramの乗っ取りでは、フォロワーに対して投資詐欺の勧誘が行われるなど、ブランドイメージを著しく毀損する事態に発展しています 。

原因

推測される主な原因は、パスワードの使い回しや、多要素認証（MFA）が未設定だったことによる認証情報の窃取です 。特にSaaS型のサービスやSNSは、社内ネットワークの外側にあるため、IDとパスワードだけでログインできる設定のまま放置されているケースが散見されます。

情シス部門が取り組むべき実務対策

一連の事例から、私たちが学ぶべき対策は明確です。優先度順に整理しました。

全システムへの多要素認証（MFA）の強制適用

外部予約サイト、PMS（宿泊管理システム）、公式SNSなど、インターネット経由でログイン可能なすべての管理画面に対し、MFAを必須化してください 。これは最も低コストかつ効果的なID窃取対策です。

エンドポイントにおけるPowerShellの制御

「ClickFix」のような攻撃に対抗するため、EDR（Endpoint Detection and Response）の導入に加え、一般従業員の端末ではPowerShellやコマンドプロンプトの起動を制限する、あるいは「Runコマンド（ファイル名を指定して実行）」の操作を禁止することを検討してください 。技術的に塞ぐことで、人のミスをカバーします。

サプライチェーンリスクの再評価

外部ベンダーとの契約において、セキュリティ監査（ISO27001やSOC2など）の有無を確認し、インシデント発生時の即時通報義務を契約に明記させることが重要です 。海外ベンダーを利用する場合は、日本国内法（個人情報保護法）への対応状況も確認が必要です。

2025年のサイバー攻撃は、技術的な脆弱性と人の心理的隙間の両方を突いてきます。エンジニアとしては、システム的な防御壁（MFAやEDR）を築きつつ、現場の運用フローに無理がないか目を光らせることが求められています。