ハワイ・ワイキキにある高級ホテル「ハレプナ ワイキキ バイ ハレクラニ」は、2025年5月23日、宿泊予約業務を委託しているPreferred Travel Group(以下、PTG)社のシステムが不正アクセスを受けたことにより、一部の顧客情報が漏洩した可能性があると発表しました。
不正アクセスの対象期間は約3か月
PTG社は、同ホテルをはじめ世界中の複数のホテルの予約サービスを提供している外部事業者で、インターネット経由での予約情報はPTGの予約システムを通じてホテル側へ送信される仕組みとなっています。
今回のインシデントは、2024年10月16日から2025年1月6日までの期間に発生したとされ、複数のホテルの予約データが不正にアクセスされた可能性があるとのことです。
漏洩の可能性がある情報の範囲
不正アクセスにより、以下の情報が含まれる予約データが影響を受けた可能性があります:
-
氏名、住所、メールアドレス、電話番号などの連絡先情報
-
宿泊先ホテル、料金、宿泊日程などの予約詳細
-
クレジット/デビットカードの名義人氏名およびカード番号の下4桁
なお、カード番号の全桁やセキュリティコードにはアクセスされていないことが確認されているとしています。
現時点での影響と再発防止策
ハレプナ ワイキキおよびPTG社によると、現時点で漏洩情報の悪用や実際の被害は報告されていないとのことですが、念のため顧客にはフィッシング詐欺やなりすましに注意するよう呼びかけています。
PTG社はすでに外部の専門家による調査を終えており、セキュリティプロトコルの強化や追加の安全対策を講じていると報告されています。また、ハレプナ側もPTG社に対して再発防止とシステムの安全確保を強く求める姿勢を示しています。
Preferred Travel Groupの利用企業が続々漏洩を公表
同社を利用していた東急ホテルズ&リゾーツや京王プラザホテル、ホテルニューグランドなどは既に個人情報漏洩の可能性を発表しており、今後さらに波及する可能性があります。
関連記事
ホテルニューグランド、予約システム運営企業「Preferred Travel Group」への不正アクセスで個人情報漏洩の可能性
東急ホテルズ&リゾーツ、宿泊予約システム委託先での不正アクセスによる個人情報漏洩の可能性を発表
京王プラザホテル、宿泊予約システム委託先「PTG」による不正アクセスで個人情報漏洩の可能性
北海道産地直送センターが運営するECサイト「産地直送センター」へ不正アクセス 個人情報が漏洩
関通のサイバー攻撃とランサムウェアの被害まとめ
倉業サービスのランサムウェアとサイバー攻撃の被害のまとめ
JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス
KADOKAWAがランサムウェア攻撃とサイバー攻撃で約25万人の個人情報漏洩を発表
