1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 日本ホテル協会がBooking.comフィッシングで4度目の注意喚起-ゴールデンウイーク以降に急増、WhatsAppで実際の予約番号を示す偽メッセージが届く手口

日本ホテル協会がBooking.comフィッシングで4度目の注意喚起-ゴールデンウイーク以降に急増、WhatsAppで実際の予約番号を示す偽メッセージが届く手口

セキュリティニュース

投稿日時: 更新日時:

日本ホテル協会がBooking.comフィッシングで4度目の注意喚起-ゴールデンウイーク以降に急増、WhatsAppで実際の予約番号を示す偽メッセージが届く手口

2026年6月12日、一般社団法人日本ホテル協会は公式プレスルームで、Booking.com経由でホテルを予約した旅行者を標的にしたフィッシングメッセージに関する4度目の注意喚起(「その4」)を発出しました。これは2025年11月・2026年2月・2026年3月・2026年5月に続く継続的な告知であり、問題が依然として収束していないことを示しています。

当サイトがこれまで報じてきた通り、Booking.com経由でホテルを予約した旅行者がWhatsAppなどのメッセージアプリを通じてホテルを装ったフィッシングメッセージを受け取る事案は、2026年春頃から国内で多数確認されています。東武ホテル・ホテルグレイスリー・ホテル京阪浅草などが先行して被害を公表し、2026年5月21日にはホテルサンルート浅草・京都センチュリーホテル・ホテルグランバッハ京都セレクトが相次いで公式サイトで注意喚起を掲載しました。さらに2026年4月にはBooking.com本体が不正アクセスを認定していることも確認されています。

今回の日本ホテル協会リリースの特徴は、2026年のゴールデンウイーク頃から事案が急増していることを業界団体として明示した点、およびホテル管理システムに異常・情報漏洩の形跡はないにもかかわらず、Booking.com側から具体的な原因説明が得られていないと公式に問題提起した点にあります。本記事では今回の注意喚起の内容・フィッシングの手口・旅行者が取るべき対応を解説します。

サマリー

  • 2026年6月12日、日本ホテル協会が4度目の注意喚起を発出(2025年11月・2026年2〜3月・5月に続く「その4」)
  • 発生時期:2026年ゴールデンウイーク頃から急増
  • 攻撃の手口:WhatsAppなどのメッセージアプリ経由でホテルを装い、実際の予約番号・宿泊日程を示しながら「クレジットカード情報が確認できないため予約がキャンセルされる」と脅してフィッシングサイトへ誘導
  • 既報の被害ホテル:東武ホテル・ホテルグレイスリー・ホテル京阪浅草・ホテルサンルート浅草・京都センチュリーホテル・ホテルグランバッハ京都セレクト等(当サイト既報
  • ホテル管理システム:異常・情報漏洩の形跡は認められない
  • 情報漏洩源:現時点で不明。ホテル側に原因なし
  • 日本ホテル協会はBooking.comに「速やかな原因調査と結果の開示および対策の実施」を要求するも、現時点では十分な説明を確認できていない
  • 日本ホテル協会は関係機関に報告・対応を要請済み
  • Booking.com公式(2026年5月9日):WhatsAppを使った日本の旅行者への標的型フィッシングを確認・公式サイトで注意喚起を発出済み
  • お問い合わせ:日本ホテル協会 [email protected]・03-3279-2706

4度目の注意喚起が示す問題の深刻さ

日本ホテル協会による注意喚起の発出状況は以下のとおりです。

注意喚起 時期
第1回(その1) 2025年11月
第2回(その2) 2026年2月
第3回(その3) 2026年3月〜5月
第4回(その4) 2026年6月12日

1年弱の間に4度の注意喚起が必要になっているという事実は、フィッシングが「一過性の事案」ではなく、Booking.comおよびその周辺エコシステムにおける構造的な問題である可能性を示唆しています。

関連:ポラリス・ホールディングスのBooking.comアカウントが不正アクセスの被害-売上金受領口座が第三者口座に改ざんされ約900万円の損失

フィッシングの手口—「実際の予約番号」が入る理由

なぜ本物の予約情報が使われるのか

今回のフィッシングの最大の特徴は、本物の予約番号・宿泊施設名・宿泊日程がメッセージに含まれる点です。受信者は「確かに自分のBooking.com予約に関する連絡だ」と信じてしまいます。

本物の予約情報が攻撃者の手元にあることは、何らかのルートで予約データが外部に流出していることを意味します。日本ホテル協会が「ホテル側の管理システムには異常・情報漏洩の形跡が認められない」と明示している以上、漏洩源はホテルではなくBooking.com側のシステムまたはその周辺にある可能性が高いと考えられます。

当サイト既報で解説した通り、2026年4月にはBooking.com本体が不正アクセスを認定しており、これが予約情報漏洩の一因となっている可能性があります。

フィッシングメッセージの典型的な構成

フィッシングメッセージは以下の構成で届きます。

  • 実際の予約番号・宿泊施設名・チェックイン/アウト日を明記(信頼感の演出)
  • 「クレジットカード情報が確認できない」「手続きをしなければ予約がキャンセルされる」という緊急性の演出
  • フィッシングサイトへのリンク(URLはBooking.comとは無関係のドメイン)
  • WhatsApp等のメッセージアプリ経由で送信(Booking.comの公式チャネルとは異なる経路)

既報との連続性

当サイトでは今回の日本ホテル協会注意喚起以前から、このBooking.comフィッシング事案を継続取材しています。

既報:Booking.com経由のフィッシング攻撃——ホテルサンルート浅草・京都センチュリーホテル・ホテルグランバッハ京都セレクトが2026年5月21日に相次いで公表

前回の既報では以下の内容を報じています。

  • 2026年5月21日に複数ホテルが同日公表したことの意味(被害の広がり)
  • Booking.comが採用しているエクストラネット経由でホテルアカウントが侵害される手口の技術的背景
  • 「予約番号と宿泊日程が正確」でもフィッシングである可能性がある理由
  • 受信者が行うべき確認手順

今回の日本ホテル協会「その4」は、これらの事案が業界全体に波及し、業界団体レベルでのBooking.comへの説明要求という新たな段階に入ったことを示す重要なアップデートです。

旅行者が今すぐ取るべき対応

① Booking.com経由で予約済みの方へ

クレジットカード情報を要求するメッセージは問答無用でフィッシングです。

Booking.comがクレジットカード情報をWhatsApp・SMS・電話で求めることは絶対にありません(Booking.com公式確認)。予約番号・宿泊日程が正確に記載されていても、詐欺メッセージの可能性があります。

  • WhatsApp・SMS経由でホテルや「Booking.com」を名乗る連絡のリンクはクリックせず削除してください
  • 不安な場合は、ブラウザで直接booking.comにアクセスして予約状況を確認してください
  • ホテルへの確認は、メッセージ内の連絡先ではなく公式サイトに記載の電話番号にかけてください

② クレジットカード情報を入力してしまった方へ

  1. カード裏面の緊急連絡先に電話してカードの利用停止と再発行を依頼してください
  2. 明細を確認し、身に覚えのない決済がないかチェックしてください
  3. 最寄りの警察署またはフィッシング対策協議会[email protected])に被害を報告してください

③ ホテルの情報システム・フロント担当者へ

  • Booking.comのエクストラネット(ホテル予約管理システム)への不審なログインがないかログを確認してください
  • エクストラネットのパスワードを変更し、多要素認証(2FA)が有効になっていることを確認してください
  • チェックイン時にお客様から「WhatsAppでメッセージが届いた」という申告があった場合は、フィッシング被害として記録してください

FAQ

Q. 予約番号と宿泊日程が正確に書いてあれば本物では? A. いいえ。今回のフィッシングの特徴は「実際の予約情報」を使うことで本物に見せかける点にあります。情報が正確でもフィッシングである可能性があります。

Q. ホテルの管理システムは安全ですか? A. 日本ホテル協会の発表によれば、ホテル側の管理システムに「異常や情報漏洩の形跡は認められない」とされています。予約情報の漏洩源は現時点で不明です。

Q. Booking.comは対応していますか? A. Booking.comは2026年5月9日に日本向けの注意喚起を公式サイトで公開しています。しかし日本ホテル協会は「具体的な原因や影響範囲等に関する十分な説明が確認できていない」とし、さらなる開示を求めています。

参考情報

関連記事

Booking.com 経由のフィッシング詐欺が新たな波—「ホテルサンルート浅草」「京都センチュリーホテル」「ホテルグランバッハ京都セレクト」が2026年5月21日に相次いで公表。Booking.com 経由のフィッシング詐欺が新たな波—「ホテルサンルート浅草」「京都センチュリーホテル」「ホテルグランバッハ京都セレクト」が2026年5月21日に相次いで公表。 2026年5月 最新サイバー攻撃の被害 事例 まとめ2026年5月 最新サイバー攻撃の被害 事例 まとめ Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意【2026年4月】Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意【2026年4月】 東武ホテル・ホテルグレイスリー・ホテル京阪浅草がBooking.com経由のフィッシング詐欺メッセージを相次ぎ公表-Booking.com 本体も2026年4月に不正アクセスを認定【2026年5月】東武ホテル・ホテルグレイスリー・ホテル京阪浅草がBooking.com経由のフィッシング詐欺メッセージを相次ぎ公表-Booking.com 本体も2026年4月に不正アクセスを認定【2026年5月】 金融庁がウリ信用組合に一部業務停止命令-元役員が20年超にわたり累計14億円の顧客預金を着服刑事告発を検討金融庁がウリ信用組合に一部業務停止命令-元役員が20年超にわたり累計14億円の顧客預金を着服刑事告発を検討 はてな、BEC詐欺による不正送金 被害で最大損失額1,179百万円 確定—当期純損失△767百万円へ転落はてな、BEC詐欺による不正送金 被害で最大損失額1,179百万円 確定—当期純損失767百万円へ転落 米政府がAnthropicにFable 5・Mythos 5の全世界停止を命令米政府がAnthropicにFable 5・Mythos 5の全世界停止を命令 ポラリス・ホールディングスのBooking.comアカウントが不正アクセスの被害-売上金受領口座が第三者口座に改ざんされ約900万円の損失ポラリス・ホールディングスのBooking.comアカウントが不正アクセスの被害-売上金受領口座が第三者口座に改ざんされ約900万円の損失 UPSIDERが不正アクセス 被害の最終報告を公開-開発者端末侵害から認証情報が漏えいUPSIDERが不正アクセス 被害の最終報告を公開-開発者端末侵害から認証情報が漏えい