出張のホテルや交通機関に潜むセキュリティ脅威 予約サイトで100カ所超の宿泊施設が偽装被害

2024年5月には夏休みに関連するサイバー詐欺の急増が観測されている。具体的には、休暇やバケーションに関連するドメインが昨年同期と比べ大幅に増加しており、新たに登録された25,668件のうち、33件に1件が悪質または疑わしいものとして確認されている。

宿泊施設になりすまして宿泊客にメールを送付する

サイバー攻撃者がレジャー・ホスピタリティ業界を狙う大きな要因は、そこに集まる豊富な個人情報だと考えられる。現在、ほとんどの人が交通チケットや宿泊先をWebやアプリで予約しており、各プラットフォームには多くの顧客情報が保有されている。これが、サイバー攻撃者にとっては「宝の山」なのだ。

実際に国内でも、顧客情報の大規模な流出が報道されている。2021年3月には、全日本空輸（ANA）が、マイレージ会員の情報約100万人分が流出したと発表した。原因は、同社の使用する予約システムを提供していた会社がサイバー攻撃を受けたことだった。

攻撃者による「宝」の活用方法の1つとして、一般利用者のアカウント情報を盗み、蓄積されたマイレージポイントをアンダーグラウンドで販売するという事例がある。もし、今後の無料フライトや宿泊時の大幅な割引を期待してコツコツ貯めてきたポイントが、何者かによって使用されていたら……。想像するだけでも非常に残念な事態だろう。

全体的な攻撃数の増加に加え、個々の攻撃の巧妙さも格段に上がっている。

宿泊予約サイトのBooking.comは昨年から、宿泊施設側にセキュリティに関する注意喚起を行っている。言及されている攻撃手口は、まず攻撃者が宿泊施設の管理アカウントのユーザー名とパスワードを騙し取って乗っ取り、施設になりすまして宿泊客にメールを送付する。そして「事前決済」などと称して偽サイトに誘導し、クレジットカード情報などを入力させて窃取するのだ。同様の被害は国内でも相次いでいると報道されており、今年4月時点で少なくとも21都道府県118カ所の宿泊施設が被害を公表している。

これに関してチェック・ポイント・リサーチは昨年、「一番人気の仕事」という謳い文句で不正アクセスの協力者を求めている疑いが強い「求人広告」を発見している。この広告からは、匿名性が高い「ダークウェブ」と呼ばれる闇サイトにて、報酬と引き換えにサイバー攻撃の実行役を得ている実態が浮かび上がる。サイバー攻撃のエコシステムは、もはやビジネス化しているのだ。

闇サイト上で実際に発見されたメッセージ。タイトルには「Booking.comでの仕事。今、一番人気の仕事」と書かれており、ホテルへ不正アクセスすることを目的とした協力者を募集している。投稿には報酬金額や1日の想定作業時間など、条件の提示も記載されている。（画像：チェック・ポイント・リサーチ提供）