ホテル従業員へ個別にフィッシングメールを送り付け、遠隔操作マルウェアを導入させる。そしてBooking.comの管理画面へアクセスし、そのホテルの宿泊客情報を盗み出すのである。
その後、「カード情報を確認してください」「決済に失敗しました」といった通知をBooking.comの公式メッセージ機能から送る。宿泊客から見れば、予約したホテルから届いた正式な連絡そのものである。疑うこと自体が難しい。
海外で被害が相次いだ理由も、そこにある。もっとも、この方法では被害は侵害されたホテルの利用者に限られる。ホテル側が侵入経路を遮断すれば、被害も比較的限定的だった。
日本で起きていることとは何が違うのか?
今回、日本ホテル協会が問題視している事案は、この海外事例とは少し様子が違う。
まず、届くのはBooking.comの公式メッセージではない。通常の電子メールやSNSである。さらに、1つのホテルではなく、多数のホテル利用者がほぼ同時に狙われている。この点は極めて特徴的である。
2026年4月、イギリスのガーディアン紙はBooking.comへの不正アクセスによって一部利用者情報が閲覧されたと報じた。Booking.comも一部の予約情報へのアクセスを認めたものの、金融情報は含まれておらず、影響は限定的で対処済みとしている。
もちろん、この事案と今回の国内事例が直接結び付くという証拠はない。しかし、利用者名、宿泊施設名、宿泊日といった情報が、多数の国内利用者について第三者へ渡っているように見える以上、その関係を慎重に調べる必要があるだろう。

