ポラリス・ホールディングスのBooking.comアカウントが不正アクセスの被害-売上金受領口座が第三者口座に改ざんされ約900万円の損失

セキュリティニュース

投稿日時: 更新日時:

ポラリス・ホールディングスのBooking.comアカウントが不正アクセスの被害-売上金受領口座が第三者口座に改ざんされ約900万円の損失

「ベストウェスタンホテル&リゾーツ」の国内展開権を持ち自社ブランド「ここホテル」を展開する東証スタンダード上場のホテル運営会社ポラリス・ホールディングス株式会社(証券コード:3010)は2026年5月28日、同社が利用する外部宿泊予約サービス「Booking.com」のグループアカウントが第三者による不正アクセスを受け、グループの複数ホテルにおいて売上金受領口座情報が第三者口座に不正に改ざんされ、1ホテルで現時点約900万円の損失が発生したと公式に発表しました。

また本件と同時期に、同グループが運営する一部ホテルにおいて宿泊予約者に対するフィッシングメッセージの送信事案も確認されており、Booking.comの管理画面への不正アクセスにより取得された情報が悪用された可能性があるとして調査が続いています。

この記事のサマリー

  • 発表日:2026年5月28日(ポラリス・ホールディングス株式会社公式)
  • 異常検知日:2026年5月23日
  • 被害の種類:Booking.comグループアカウントへの不正アクセス→複数ホテルの売上金受領口座情報を第三者口座に不正改ざん→不正送金
  • 被害の規模
    • 1ホテル:売掛金の一部が不正口座に振り込まれ、現時点で約900万円の損失が発生
    • その他の複数ホテル:同様の口座改ざんが確認されたが、早期対応により不正送金を未然に防止
  • 関連事案:一部ホテルにおいて、宿泊予約者に対するフィッシングメッセージの送信が確認された
  • 追加調査事項:一部の事象については外部予約管理システムを経由した情報漏洩の可能性も調査中
  • 個人情報の状況:クレジットカード情報の漏洩は現時点で未確認。個人情報の漏洩有無・範囲は調査中
  • 業績への影響:軽微と見込む
  • 対応状況:全ホテルのBooking.com・関連システムのパスワード変更済み。Booking.comに対しアクセスログの開示要請・関係機関への相談・協議を実施中
  • 問い合わせ先:ポラリス・ホールディングス株式会社(TEL:03-5822-3010)

発生の経緯-「売上金受領口座の改ざん」という手口

ポラリス・ホールディングスの公式発表によれば、同社は2026年5月23日にBooking.comのグループアカウントにおける異常を検知し、調査を開始しました。その後の調査により、第三者による不正アクセスが行われ、複数ホテルの売上金受領口座情報が第三者口座に不正に改ざんされていたことが判明しました。

このうち1ホテルにおいては、改ざんされた口座情報によって本来ポラリス・ホールディングスが受領すべき売掛金の一部が不正な口座に振り込まれ、現時点で約900万円の損失が発生しています。一方、その他の複数ホテルでも同様の口座改ざんが確認されましたが、早期の異常検知と対応により不正送金は未然に防止しています。

関連事案-宿泊予約者へのフィッシングメッセージ送信

本件不正アクセスと同時期に、同グループが運営する一部ホテルにおいて、宿泊予約者に対するフィッシングメッセージの送信事案も確認されています。これらはBooking.comの管理画面への不正アクセスにより取得された顧客情報(宿泊者の予約情報・連絡先等)が悪用された可能性があるとして、現在調査が進められています。

ポラリス・ホールディングスはあわせて、一部の事象については外部予約管理システムを経由した情報漏洩の可能性も含めて確認を行っているとしています。

「Booking.comアカウント経由のホテル詐欺」という攻撃パターン

今回の事案は、Booking.com経由でホテルを標的にした攻撃の典型的なパターンと一致しています。当サイトの過去記事でも詳報した通り、この種の攻撃では以下の2つの被害が同時に発生します。

①売上金受領口座の改ざんとして、ホテルがBooking.comから受け取る売上金(宿泊料)の送金先口座を攻撃者が管理する第三者口座に書き換えることで、ホテルへの正当な入金を横取りします。今回のポラリス・ホールディングスの被害はこのパターンに該当します。

②宿泊予約者へのフィッシングメッセージ送信として、Booking.comの管理画面にはホテルへの予約者情報(氏名・連絡先・クレジットカード情報・予約内容等)が含まれています。攻撃者はこれを悪用して、ホテルまたはBooking.com公式を装った偽のメッセージを宿泊予約者に送付し、「支払い確認のためにクレジットカード情報を再入力してください」等の内容でさらなる詐欺を試みます。今回のポラリス・ホールディングスの事案でも同様の送信が確認されています。

現在の対応状況

ポラリス・ホールディングスは本件判明後、直ちに以下の対応を実施しています。

全ホテルにおけるBooking.comおよび関連システムのアカウントパスワード変更を実施済みです。Booking.comに対するアクセスログの開示要請および調査も実施中です。被害拡大防止および影響範囲の継続的な確認を進めています。関係機関への相談ならびにBooking.comの運営会社との今後の対応協議も行っています。

個人情報の状況と宿泊者への注意喚起

現時点において、顧客のクレジットカード情報の漏洩は確認されていません。ただし個人情報の漏洩の有無および範囲については現在精査中であり、判明次第適切に対応するとともに必要に応じて適時に情報開示を行うとしています。

ポラリス・ホールディングスが運営するホテルに宿泊予約をされている方・宿泊された方は、以下の点に注意してください。

「支払い情報の確認」「クレジットカード情報の再入力」「追加料金の決済」を求めるメッセージがBooking.com・ホテル・SMS・メール等から届いた場合は、安易に応じないでください。公式チャンネル(直接電話等)でホテルに確認してから行動することを推奨します。また身に覚えのない請求や不審なクレジットカードの引き落としがあった場合は、カード会社に速やかに連絡してください。

 

参考情報(1次ソース)