Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意【2026年4月】

セキュリティニュース

投稿日時: 更新日時:

Booking.com(ブッキングドットコム)で不正アクセスによる個人情報漏洩|フィッシングに注意【2026年4月】

世界最大級のオンライン旅行予約サービスBooking.com(ブッキングドットコム)が、2026年4月13日(現地時間)、第三者による不正アクセスで顧客の予約情報が漏洩した可能性があると公式に認めました。同社は影響を受けた予約のPIN番号を強制リセットし、ユーザーへの通知メールを順次送付しています。

今回の漏洩で流出した可能性があるのは氏名・メールアドレス・電話番号・予約詳細・宿泊施設とのメッセージ内容です。クレジットカード番号などの金融情報へのアクセスは確認されていないと同社は述べています。一方で被害規模(影響を受けたユーザー数)は現時点で非公表のままです。すでにRedditを中心に、盗まれた予約情報を悪用したフィッシング詐欺被害が多数報告されており、ユーザーへの注意喚起が急務の状況です。

インシデントの経緯と公式発表の内容

発覚の経緯:週末のReddit投稿から

このインシデントが最初に広く知られたのは、2026年4月12日〜13日の週末にかけてです。複数のユーザーがBooking.com公式アドレス([email protected])から見慣れない通知メールを受け取り、その内容をRedditのr/Bookingcomコミュニティに投稿しました。

当初は「このメールは本物か、フィッシングではないか」と真偽を疑うユーザーが相次ぎましたが、その後Booking.comの広報担当者がBleepingComputerおよびTechCrunchの取材に対して漏洩を公式に認めました。

なお、Booking.comのアプリ内には通知が届いていないことが多くのユーザーを混乱させました。これはメールのみで通知が行われたためです。

また、あるRedditユーザーは「今回の公表の15日前にすでにセキュリティ侵害を報告していたが、Booking.comからは『システムは正常』との返答だった」と述べており、検知から公表までの対応の遅れを指摘する声もあります

Booking.com公式声明の全文(通知メール)

影響を受けたユーザーに送付された通知メールには、以下の内容が記されています。

「Booking.comは、ゲストのセキュリティとデータ保護に専念しています。この観点から、不正な第三者がお客様の予約に関連する一部の予約情報にアクセスできた可能性があることをお知らせします。(中略)現在までの調査結果によると、アクセスされた情報には予約詳細・氏名・メールアドレス・電話番号・宿泊施設と共有した情報が含まれる可能性があります。(中略)予約のセキュリティを確保するため、予約のPIN番号を更新しました。」

また、BleepingComputerに対してBooking.comの広報担当者Sage Hunterは以下のように述べています。

「不正な第三者が一部のゲストの予約情報にアクセスできる可能性のある不審な活動に気づきました。活動を発見した後、問題を封じ込めるための行動をとりました。これらの予約のPIN番号を更新し、ゲストに通知しました。」(BleepingComputer)

漏洩した可能性のある情報と「含まれない情報」

 

カテゴリ 情報の種類 ステータス
漏洩の可能性あり 氏名、メールアドレス、電話番号、予約詳細(日程・宿泊施設名等)、宿泊施設とのメッセージ内容 ⚠ 漏洩の可能性あり
漏洩は確認されていない クレジットカード番号、銀行口座情報、その他の金融情報、自宅・勤務先などの住所(TechCrunchへの追記声明) ✓ 漏洩確認なし
現時点で不明 パスポートや身分証明書のスキャン(一部の予約で施設に提出が必要な場合がある) ❓ 未確認

出典:Booking.com通知メール(BleepingComputer経由)、TechCrunch、SecurityWeek、Cybernews

 

Cybernewsは「多くの宿泊施設がチェックイン前にパスポートや政府発行の身分証明書のコピーを要求しており、こうした情報も予約データに含まれている可能性があるが、Booking.comからの通知メールではこれらへの言及はない」と指摘しています(Cybernews)。

Booking.comの対応措置

同社が公表した対応措置は以下の3点です。

  • 予約PIN番号の強制リセット:影響を受けた予約の確認用PIN番号を自動的に更新した(現在有効な予約・過去の予約の双方が対象)
  • 個別通知メールの送付:影響を受けたと判断したユーザーに順次メールを送付。全員に個別通知するとしているが、送付完了の時期や規模は非公表
  • インシデントの封じ込め:「問題は完全に封じ込められた(fully contained)」と声明を出したが、具体的な攻撃の手口・侵入経路・影響を受けたユーザー数・データが外部に持ち出されたかどうかについては一切説明していない

Booking.comは複数のメディア(The Register、SecurityWeek、TechCrunch)から「何名が影響を受けたか」「どのような経路でアクセスされたか」を問われましたが、いずれの質問にも回答を拒否しています。The Guardianへの声明では「金融情報にはアクセスされていない」とだけ述べています。

なぜ今回の漏洩は特に危険なのか:フィッシング詐欺への悪用リスク

今回の漏洩で最も深刻なリスクは、流出したデータがそのまま説得力の高いフィッシング詐欺に悪用される点です。

The Registerは「これはクレジットカードを根こそぎ取られる種類の漏洩ではないが、まさに説得力のあるフィッシングメールを作るために必要な情報が揃っている」と評しています。

実際にRedditユーザーからは今回の公表前後にすでに複数の詐欺被害が報告されています。

  • TechCrunchの取材に応じたあるRedditユーザーは、今回の公表の2週間前にすでに予約の詳細と個人情報を含むWhatsAppフィッシングメッセージを受け取っていたと証言。これは攻撃者がデータを取得後、すでに詐欺に活用し始めていた可能性を示す
  • 「旅行代理店」を名乗る人物からの電話が繰り返しかかってきて予約の確認を求められ、詳細を聞こうとすると怒って電話を切るという事例
  • 「チェックインマネージャー」を名乗る人物からWhatsAppで連絡があり、追加の予約詳細を聞き出そうとする試みが報告されている

なおBooking.comのプラットフォームを通じた詐欺は今回が初めてではありません。

2026年1月にはセキュリティ企業Securonixが、ロシア系ハッカーによる「クリックフィックス」フィッシングキャンペーンを開示しており、攻撃者はホテルを装ったなりすましメールを送付し、「予約がキャンセルされ多額の請求が発生する」という偽の内容で被害者に悪意あるリンクをクリックさせマルウェアをインストールさせる手口が確認されていました

関連

Booking.comのサイバー攻撃被害の歴史

今回の漏洩は、Booking.comにとって初めての事例ではありません。

インシデント概要 結果・影響
2018年 UAE(アラブ首長国連邦)のホテル従業員のログイン認証情報をフィッシングで窃取。Booking.comの管理ポータルに不正アクセス 4,000名以上の顧客のデータ(一部クレジットカード情報を含む)が漏洩。GDPRの72時間報告義務に違反し、22日遅れで届け出。オランダDPA(個人情報保護局)より€47万5,000の制裁金
2024年 複数のホテルのコンピュータにコンシューマーグレードのスパイウェア(ストーカーウェア)が感染。pcTattletaleがBooking.com管理ポータルの画面スクリーンショットを撮影 TechCrunchが報告。フィッシング攻撃が前年比900%増とBooking.comが発表。AIを悪用した詐欺の急増が背景
2026年1月 ロシア系ハッカーによる「クリックフィックス」フィッシングキャンペーン。ホテルのアカウントを侵害しBooking.com内のメッセージ機能を通じて偽の支払い要求を顧客に送付 Securonixが開示。Booking.comの正規メッセージシステムが詐欺の配信経路として悪用された
2026年4月 今回のインシデント。不正な第三者による予約情報への不正アクセスが発覚。攻撃の手口・経路は非公表 予約PINの強制リセット・順次通知。フィッシング詐欺被害がすでに多数報告

 

The Registerは「2018年のインシデントがホテルスタッフの認証情報侵害というサプライチェーン経由だったように、今回も同様のパターンを踏んでいる可能性がある。その場合、漏洩そのものよりも、その後に続くフィッシング攻撃の方が深刻な脅威になる」と分析しています。

被害に遭った・遭っている可能性のある方へ:今すぐ取るべき行動

Booking.comを過去に利用したことがある方、特に最近予約をした方は以下の対応を速やかに行ってください。

  • Booking.comアカウントのパスワードを変更する:特に同じパスワードを他のサービス(旅行系・メール・SNS等)でも使い回している場合は全て変更が必要
  • 不審なメール・SMS・WhatsApp・電話には応答しない:Booking.comや宿泊施設を名乗っていても、予約に関してクレジットカード情報・銀行振込・追加個人情報を求める連絡には絶対に応じないこと。Booking.comは「メール・電話・WhatsApp・SMSでクレジットカード情報を求めることは絶対にない」と明言している(SecurityWeek)
  • 公式アプリ・サイトから直接ログインして確認する:メールのリンクから予約確認ページにアクセスするのではなく、ブラウザで booking.com を直接入力するかアプリを使って予約状況を確認すること
  • Booking.comからの通知メールを確認する:スパムフォルダも含めて確認する。[email protected] からメールが届いている場合、漏洩の対象である可能性がある
  • 不審な金融取引がないか監視する:クレジットカードや銀行の明細を確認し、身に覚えのない請求がないかチェックする(今回の漏洩で金融情報は含まれていないとされているが、予防的確認として有効)

Booking.comは24時間365日多言語対応のカスタマーサポートを用意しており、漏洩に関する問い合わせも受け付けるとしています。


よくある質問(FAQ)

Booking.comのデータ漏洩で流出した可能性のある情報は何ですか?

Booking.comが通知メールで明らかにした流出の可能性がある情報は、氏名、メールアドレス、電話番号、予約詳細(チェックイン・チェックアウト日、宿泊施設名など)、および宿泊施設との間でやり取りしたメッセージです。クレジットカード番号や銀行口座などの金融情報へのアクセスは確認されていないと同社は述べています。TechCrunchへの声明では住所(物理的な自宅住所)も含まれていないと追記されています。

Booking.comから「PINを変更しました」というメールが届きましたが、本物ですか?

[email protected] からの通知メールは本物である可能性が高いです。Booking.comは今回の漏洩を受けて影響を受けた予約のPIN番号を強制的にリセットし、その通知を公式メールで送付しています。ただし、このメールを受け取ったことで実際にフィッシング詐欺メールが増加しているため、届いたメールに記載されたリンクをクリックしたり、電話番号に折り返したりしないよう注意が必要です。Booking.comはメール・電話・WhatsApp・SMSでクレジットカード情報を求めることは絶対にないと明言しています。

Booking.comを利用したことがある場合、何をすればよいですか?

①Booking.comのアカウントのパスワードを変更する、②同じパスワードを使い回している他サービスのパスワードも変更する、③予約に関連する不審なメール・SMS・WhatsAppメッセージには応答しない、④Booking.comを名乗る電話には個人情報や支払い情報を絶対に教えない、⑤Booking.comからの通知かどうか不審な場合はアプリやウェブサイトに直接ログインして確認する、の5点が推奨されます。


出典