2026年5月7日〜12日にかけて、複数の日本の大手ホテルグループが「Booking.comを経由したフィッシングサイト誘導メッセージが顧客に送信されている」と相次いで発表しました。
発表したのは株式会社東武ホテルマネジメント(5月7日)、WHGホテルズ株式会社(ホテルグレイスリー・ワシントンホテル等、5月11日)、ホテル京阪浅草(5月12日)の3グループです。いずれも手口は共通しており、Booking.comを通じて予約した宿泊客に対して「WhatsApp」などのメッセージアプリ経由で「予約の確認のためクレジットカード情報の入力が必要」と偽ったフィッシングサイトへのURLリンクが送られています。
なお、Booking.com本体も2026年4月13日に第三者による不正アクセスで顧客の予約情報が漏洩した可能性があると公式に認めており、本件はその延長線上の被害波及として位置づけられます。
目次
この記事のサマリー
- 東武ホテルマネジメント(5月7日):Booking.comを通じて予約した顧客に対し、WhatsApp等でクレジットカード情報入力を求める不審メッセージが送信されていることを確認。
- WHGホテルズ・ホテルグレイスリー(5月11日):ホテルやBooking.comを装った不審なメッセージが送信されている事象を確認。WhatsApp等を介してフィッシングサイトへ誘導するURLリンクを含む。
- ホテル京阪浅草(5月12日):不正アクセスによりフィッシングサイトへ誘導するメッセージが配信されたことを公表。
- Booking.com本体も2026年4月13日に不正アクセスを認定。流出した可能性があるのは氏名・メールアドレス・電話番号・予約詳細等(クレジットカード番号は含まれていないとしている)。
- 国内のホテルを狙ったBooking.com経由のフィッシング攻撃は2023年6月以降継続しており、2026年5月時点で100以上の宿泊施設が被害を公表。3グループの発表はこの継続する攻撃キャンペーンの最新事例です。
各グループの発表詳細
東武ホテルマネジメント(2026年5月7日)
発表タイトル:フィッシングサイトへの誘導に関する注意喚起
Booking.comを通じて当社運営のホテルをご予約された一部のお客さまに対し、WhatsAppなどのメッセージアプリを使用し、ご予約の確認を装ってクレジットカード情報の入力を求める不審なメッセージが送信されている事象を確認したと発表しました。
東武ホテルマネジメントは「当社からお客さまのご予約に関して、メッセージアプリを使用して直接ご連絡を差し上げることは一切ございません」と明示しています。対応策として、Booking.comをはじめとする各オンライン予約サイトにおけるパスワードの定期的な変更など必要な対策を講じていくとしています。
同社が運営する主な施設は、コートヤード・マリオット銀座東武ホテル・ACホテル・バイ・マリオット東京銀座・品川東武ホテル・浅草東武ホテル・東武ホテルレバント東京・渋谷東武ホテル・川越東武ホテル・成田東武ホテルエアポート・宇都宮東武ホテルグランデ等です。
問い合わせ先:[email protected](株式会社東武ホテルマネジメント 広報宣伝部)
WHGホテルズ・ホテルグレイスリー(2026年5月11日)
発表タイトル:ホテルやオンライントラベルエージェントを装った不審なメール・メッセージにご注意ください
WHGホテルズ(ホテルグレイスリー・ワシントンホテル等を運営)が全ブランド横断での注意喚起を発表しました。弊社ホテルやBooking.comを装った不審なメッセージが送信されている事象が確認されたとして、WhatsAppなどのメッセージアプリを介して配信されており、悪質なフィッシングサイト(詐欺サイト)へ誘導するおそれのある不正なURLリンクが含まれていると説明しています。
WHGホテルズが展開するホテルグレイスリーは、銀座・田町・浅草・新宿・札幌・京都三条・大阪なんば・那覇(国内)、ソウル・台北(海外)等に展開する国際的なホテルグループです。
ホテル京阪浅草(2026年5月12日)
発表タイトル:不正アクセスによるフィッシングサイトに誘導するメッセージの配信について
ホテル京阪チェーンの浅草拠点において、Booking.com経由の不正アクセスによりフィッシングサイトへ誘導するメッセージが配信されたことを公表しました。
なお、ホテル京阪は2023年8月にも系列の「ホテル京阪淀屋橋」においてBooking.comの管理画面が不正アクセスを受け、顧客にフィッシングサイトへ誘導するメッセージが配信された事案を経験しており、同チェーンにとって今回は2度目の類似被害となります。
2026年4月にBooking.com 本体で不正アクセス
2026年4月13日(現地時間)、Booking.comは第三者による不正アクセスで顧客の予約情報が漏洩した可能性があると公式に認めました。
発端は2026年4月12〜13日の週末にかけて複数のユーザーがBooking.com公式アドレスから見慣れない通知メールを受け取り、Reddit等のSNSで話題になったことでした。Booking.comは影響を受けた予約のPIN番号を強制リセットし、ユーザーへの通知メールを順次送付しています。
漏洩した可能性があるのは氏名・メールアドレス・電話番号・予約詳細・宿泊施設とのメッセージ内容で、Booking.comはクレジットカード番号等の金融情報へのアクセスは確認されていないとしています。一方で影響を受けたユーザー数(被害規模)は公表されていません。
Booking.com本体への不正アクセスは、今回の個々のホテルで発生したインシデントに影響しているか不明ですが注意が必要です
Booking.com経由で宿泊予約をした方への推奨対応
不審なメッセージのURLは絶対クリックしないこととして、WhatsApp・SMS・メール等でBooking.com予約関連として届いたメッセージに含まれるURLリンクは、ホテルの公式サイトや予約確認メール記載のURLと一致しない場合は絶対にクリックしないでください。
ホテルは「WhatsApp等メッセージアプリ」でクレカ情報を求めないこととして、WhatsApp・SMS・Telegram等のメッセージアプリを通じてクレジットカード情報の入力を求めることは正規のホテルでは行いません。
クレジットカード情報を入力してしまった場合は、ただちにカード会社に連絡してカードを利用停止にし、不正利用がないか確認してください。
Booking.comのパスワード変更として、Booking.comアカウントのパスワードを変更し、他のサービスとの使い回しがないか確認してください。
参考情報
- フィッシングサイトへの誘導に関する注意喚起(東武ホテルマネジメント、2026年5月7日)
- ホテルやオンライントラベルエージェントを装った不審なメール・メッセージにご注意ください(WHGホテルズ、2026年5月11日)
- 不正アクセスによるフィッシングサイトに誘導するメッセージの配信について(ホテル京阪浅草、2026年5月12日)
- Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意(セキュリティ対策Lab、2026年4月)
- Booking.com利用者へのフィッシング被害に関する注意喚起(観光庁、2023年11月)
- お客様へのお願い——フィッシングメールと宿泊施設への宿泊に関する注意喚起(Booking.com公式)
- 【関連記事】不正アクセスとは——定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意【2026年4月】
マネーフォワードの不正アクセス 本番DBの情報漏洩や侵害なし-銀行口座連携の再開時期は未定
PHP 8.5.6・8.4.21・8.3.31・8.2.31で複数の脆弱性を修正
新日本検定協会へのサイバー攻撃で損保6社が一斉に個人情報漏洩を公表—東京海上日動・三井住友海上・損保ジャパン・あいおいニッセイ同和・共栄火災・楽天損保
Booking.comを装ったフィッシング攻撃とソーシャルエンジニアリングで認証情報窃取マルウェアを配布
西日本シティ銀行・BeReal投稿による顧客の個人情報漏洩で頭取が謝罪
精電舎電子工業でサイバー攻撃で一時的なシステム障害
Booking.comに偽装した「ClickFix」によるサイバー攻撃、ホテル/宿泊 業界を標的に
Booking.comを装うフィッシングサイトのURLに「ん」-ClickFIXも確認
