こうした攻撃を「二段階フィッシング」と称する。第1段階で企業やホテルなどの組織から個人情報を盗み出し、第2段階でその情報を使って個人をだます。つまり情報漏洩が、詐欺を成功させるための入り口になっているのである。
日本ホテル協会が強い危機感を示した理由
Booking.comは世界最大級の旅行予約サービスであり、日本国内でも多くのホテルや旅館が利用している。旅行や出張で一度は使ったことがあるという人も少なくないだろう。
今回、日本ホテル協会は加盟ホテルへの注意喚起にとどまらず、報道機関に向けて広く発信した。単なる注意文ではなく、Booking.com側に原因究明と対策を求める内容であった点も注目される。
背景には、被害の広がりがある。対象となったホテルは1社、2社ではなく、数十社に及んだ。さらに問題なのは、送られてきたメールやメッセージに、利用者の氏名、宿泊施設名、宿泊予定日など、予約内容そのものが含まれていたことである。
この情報を通常知っているのは、予約者本人、宿泊施設、そして予約を仲介したサービス事業者に限られる。だからこそ、利用者は疑いにくい。従来の「どこか怪しい」フィッシングとは、信じ込ませる力がまったく違うのである。
では、いったい情報はどこから漏れたのか。
現時点で、情報がどこから漏れたのかは断定できない。ホテル側のシステムが侵害された可能性も、理屈の上ではあり得る。しかし、日本ホテル協会によれば、各ホテルが調査した範囲では、不正アクセスなどの明確な兆候は確認されていないという。

