新横浜グレイスホテルは、提携する宿泊予約サイトBooking.comで不正アクセスが発生し、同ホテルをBooking.com経由で予約した一部顧客の個人情報が第三者に閲覧された可能性があると発表しました。あわせて、該当する一部顧客に対し、WhatsAppなどのメッセージアプリを通じてフィッシングサイトへ誘導するメッセージが送信されている事象を確認したとしています。
何が起きたか
ホテルの発表によると、2026年1月18日以降、複数の顧客から問い合わせがあり調査した結果、Booking.com経由で同ホテルを予約した一部顧客に対して、予約確認を装う内容のメッセージがWhatsApp等で送られていることが判明しました。
メッセージには、24時間以内に手続きをしないと予約がキャンセルされるといった文言と、フィッシングサイトへ誘導するURLリンクが含まれていたとしています。
影響の可能性
本件では、Booking.com側の不正アクセスにより、一部顧客の個人情報が第三者に閲覧された可能性があるとされています。ホテルは現在、Booking.com社に事実関係の確認と詳細調査を依頼し、ホテル側でも状況把握と調査を進めている段階です。
現時点で、どの情報がどの範囲で閲覧されたか、被害の確定範囲については本文中で明示されていません。
フィッシングの手口
特徴は、予約者の不安を煽って即時対応を迫る点です。今回確認された文面例では、予約キャンセルを示唆し、制限時間(24時間以内)を設けてリンクを踏ませる流れになっています。
ホテルは、SNSを通じてこのようなメッセージを送ることはないと明確に否定しています。
お客様へのお願い
ホテルは、不審なメッセージを受信した場合は、記載のURLリンクに決してアクセスしないよう呼びかけています。
また、Booking.com社が注意喚起の連絡を実施していること、ホテル側でもBooking.comのログインパスワードを変更するなどの対応を行ったとしています。
情報システム部門の観点で押さえるべきポイント
宿泊予約サイト経由のフィッシングは、個人だけでなく出張手配や法人アカウントにも波及します。情シスとしては、次の実務が効きます。
-
出張手配担当・総務向けに、予約確認を装うメッセージ(期限付き、キャンセル脅し、外部URL誘導)を注意喚起する
-
社員が受け取った不審メッセージの一次受付窓口(報告先)を明確化し、類似文面やURLを素早く展開する
-
決済に関わる情報入力を誘導された場合に備え、カード会社への連絡手順や不正利用時の対応フローを整備する
-
予約サイトのアカウントについて、多要素認証の利用可否やパスワード使い回し禁止の徹底を再点検する








