2026年5月21日、相鉄ホテルズが運営する「ホテルサンルート浅草」、京阪ホテルズ&リゾーツが運営する「京都センチュリーホテル」、および「ホテルグランバッハ京都セレクト」の3施設が、Booking.com(Booking.com B.V.、本社:オランダ・アムステルダム)経由で宿泊予約を行った一部の顧客に対し、クレジットカード情報の入力を求めるフィッシングサイトへ誘導するメッセージが配信された事象を公式に発表しました。
3施設とも、WhatsApp等のメッセージアプリや公式チャット機能を悪用した手口で、ホテル側からのメッセージを装ったフィッシングメッセージが送信されている実態が確認されています。
本件は当サイトが5月上旬に報じた東武ホテル・ホテルグレイスリー・ホテル京阪浅草のケースと同一の攻撃キャンペーンの継続・拡大とみられます。2023年6月以降続くこの攻撃では、すでに100以上の国内宿泊施設が被害を公表しており、2026年4月13日にはBooking.com本体も第三者による不正アクセスを公式に認めています。
この記事のサマリー
- 2026年5月21日に被害を公表した3施設:ホテルサンルート浅草(相鉄ホテルズ)・京都センチュリーホテル(京阪ホテルズ&リゾーツ)・ホテルグランバッハ京都セレクト。
- 被害の手口:Booking.com経由で予約した一部の宿泊客に、WhatsApp等のメッセージアプリや公式チャット機能を通じて「予約確認のためクレジットカード情報が必要」等と偽るフィッシングサイトへのURLリンクが送付されている。
- ホテルと本体Booking.comはどちらもクレジットカード情報をメッセージ等で求めることはない。
- Booking.com本体の不正アクセス(2026年4月13日):Booking.com本体への第三者による不正アクセスが公式に認定。氏名・メールアドレス・電話番号・予約詳細等が流出した可能性あり(クレジットカード番号は含まれないとしている)。
- 国内被害の規模:2023年6月以降継続する攻撃キャンペーンで、2026年5月時点で100以上の国内宿泊施設が被害を公表。
- 不審なメッセージを受け取ったら:URLリンクには絶対にアクセスしない。クレジットカード情報を絶対に入力しない。心当たりがある場合はホテルまたはBooking.comの公式窓口に直接問い合わせる。
目次
3施設の公式発表の詳細
ホテルサンルート浅草(相鉄ホテルズ)
公式発表(2026年5月21日)のタイトルは「フィッシングサイトへ誘導する不審なメッセージについての注意喚起」です。
Booking.comを通じてホテルサンルート浅草を予約した一部の顧客に対し、WhatsAppなどのメッセージアプリを利用し、予約確認を装ってクレジットカード情報の入力を求める不審なメッセージが送信されている事象が確認されていると公表しています。
これらのメッセージには悪質なフィッシングサイトへ誘導するURLリンクが含まれている可能性があるとして、URLへのアクセスおよびクレジットカード情報の入力を行わないよう警告しています。なお、当ホテルでは予約確認の名目で外部のメッセージアプリを通じてクレジットカード情報や個人情報を要求することはないとも明記しています。
京都センチュリーホテル(京阪ホテルズ&リゾーツ)
公式発表(2026年5月)のタイトルは「不正アクセスとフィッシングメッセージ配信に関するお詫びとお知らせ」です。
3施設の中で最も深刻な内容であり、タイトルに「不正アクセス」と「お詫び」が明記されていることから、同ホテルのBooking.com管理アカウントへの不正アクセスが発生し、その結果としてフィッシングメッセージが配信されたことが確認されているとみられます。Booking.com経由で予約した顧客に対してフィッシングサイトへ誘導するメッセージが配信されたことについて謝罪するとともに、URLへのアクセスおよびクレジットカード情報の入力を行わないよう警告しています。
ホテルグランバッハ京都セレクト
公式発表(2026年5月21日)のタイトルは「【注意喚起】Booking.com経由のご予約に伴うフィッシングサイト誘導メッセージについて」です。
Booking.com経由で予約した顧客に対してフィッシングサイトへ誘導するURLリンクを含むメッセージが配信されている事象についての注意喚起を行っています。
なぜホテル側から「公式」に見えるメッセージが届くのか
この攻撃キャンペーンが被害を拡大させ続けている最大の理由は、フィッシングメッセージが「Booking.comの公式チャット・メール機能」を経由して送信されるため、受信した宿泊客が本物のホテルからの連絡と誤認しやすい点にあります。
過去の類似事例の調査(阪急ホテルズなど)により明らかになっている攻撃の流れは以下の通りです。
Step 1として、攻撃者がホテルのスタッフの端末を標的としたフィッシングメールを送信し、マルウェア(主に「Vidar」「RedLine Stealer」等のインフォスティーラー)に感染させます。
Step 2として、感染した端末に保存されていたBooking.comのエクストラネット(ホテル管理画面)のログインID・パスワードが窃取されます。
Step 3として、攻撃者が窃取した認証情報を使ってホテルになりすましてBooking.comの管理画面にログインします。Step 4として、管理画面から予約済みの顧客リストを閲覧し、Booking.comの公式チャット機能やメッセージシステムを使って「クレジットカードの再確認が必要」「支払いが完了していない」等のメッセージを送信します。Step 5として、メッセージにはフィッシングサイトへのURLリンクが含まれており、宿泊客がアクセスして情報を入力するとクレジットカード情報が盗まれます。
この手口の巧妙さは、Booking.comの公式メールアドレス(@booking.com)からメッセージ通知が届くため、受信した側が偽物と判断しにくい点にあります。また、メッセージには実際の予約情報(氏名・宿泊日・部屋タイプ等)が正確に記載されている場合もあり、さらに信頼性が高く見えます。
Booking.com本体への不正アクセス(2026年4月13日)
当サイトの過去記事でも報じた通り、2026年4月13日にはBooking.com本体が第三者による不正アクセスを受け、顧客の予約情報が漏洩した可能性があることを公式に認めています。流出した可能性があるのは氏名・メールアドレス・電話番号・予約詳細等であり、クレジットカード番号は含まれないとしています。
このBooking.com本体への不正アクセスにより、攻撃者がより正確な予約情報(氏名・宿泊先・宿泊日程等)を取得し、それを悪用してさらに精巧なフィッシングメッセージを作成できる状況が生じている可能性があります。
2023年6月から続く継続的な攻撃キャンペーン
この問題は今回が初めてではありません。2023年6月頃から日本国内の多数のホテルを標的とした同一手口の攻撃キャンペーンが継続しており、現在までに100以上の国内宿泊施設が被害を公表しています。
当サイトの過去記事(2026年5月上旬)では、東武ホテルマネジメント(5月7日)・WHGホテルズ(ホテルグレイスリー・ワシントンホテル等、5月11日)・ホテル京阪浅草(5月12日)の3グループが相次いで被害を公表したことを報じており、今回の3施設はその継続として発生したものとみられます。
Booking.com経由の予約者が取るべき対応
Booking.comを通じてホテルを予約したことがある方は、以下の点に注意してください。
URLリンクには絶対にアクセスしないこととして、「予約確認」「支払い情報の更新」「クレジットカードの再確認」等を求めるメッセージに記載されたURLリンクにはアクセスしないでください。メッセージの送信元がBooking.comの公式メールアドレスであっても同様です。
クレジットカード情報は絶対に入力しないこととして、ホテルおよびBooking.comはメールやチャット、WhatsApp等の外部メッセージアプリを通じてクレジットカード情報の入力を求めることはありません。
不審に思ったら公式窓口に直接問い合わせることとして、メッセージが本物かどうか判断できない場合は、Booking.comの公式サイト(booking.com)にログインして予約詳細を直接確認するか、ホテルの公式電話番号に直接問い合わせてください。
すでにクレジットカード情報を入力してしまった場合は、速やかにカード会社に連絡して不正利用の有無を確認し、必要に応じてカードの利用停止・再発行を依頼してください。また、警察庁のサイバー犯罪相談窓口や消費者ホットライン(188)への相談も検討してください。
参考情報(1次ソース)
- フィッシングサイトへ誘導する不審なメッセージについての注意喚起(ホテルサンルート浅草・相鉄ホテルズ・2026年5月21日)
- 不正アクセスとフィッシングメッセージ配信に関するお詫びとお知らせ(京都センチュリーホテル・京阪ホテルズ&リゾーツ・2026年5月)
- 【注意喚起】Booking.com経由のご予約に伴うフィッシングサイト誘導メッセージについて(ホテルグランバッハ京都セレクト・2026年5月21日)
- 【当サイト過去記事】東武ホテル・ホテルグレイスリー・ホテル京阪浅草がBooking.com経由のフィッシング詐欺メッセージを相次ぎ公表——Booking.com本体も2026年4月に不正アクセスを認定
- 【重要】お客様へのお願い——フィッシングメールと宿泊施設への宿泊に関する注意喚起(Booking.com公式・日本語)
- 【関連記事】フィッシング詐欺とは——手口・見分け方・被害事例・対策を専門家が解説
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ








