現在、海外渡航のためのアレンジ中ですが、予約サイトのBooking.comを使って予約していたホテルより、数日前に以下のメールが届いていました。

Dear ***********, unfortunately your booking might be cancelled due to an error during verification of your payment method.

Usually in this case Booking asks to verify your payment method and confirm your identity as a holder.

You can verify your payment method through a personal link:

https://admin-booking-login.com/p/*******
（以下略）

　日本語訳すると「*****さん、あなたの支払方法（クレジットカード）の確認にしようとしましたが、エラーが発生しました。あなたの予約がキャンセルされるかもしれません。通常、こうしたケースではBooking .comではあなたがカードの保有者であることを証明することを求めることになっています。以下のリンクよりアクセスして証明してください。（以下略）」という内容です。

　しかし、このメールをみて、すぐにフィッシング詐欺ではないかとピンときました。ホテル宛てに「こんな怪しいメールを受け取りましたが、これは貴社が送ったものでしょうか」という趣旨の確認のためのメールを送付しました。

　すると、以下の返信がありました。

We would like apologize for any inconvenience caused by the messages sent from this account.
It appears it is being used to send messages to without our knowing. We have alerted booking.com and are in the process of investigating.
We would like to remind our guest that we do not and will not request from you to verify any payment details through the messaging app. any form of communication regarding payment details will only be made by booking.com and not by us.（以下略）

　和訳「このたび、このアカウントから送信されたメールでご迷惑をおかけし申し訳ございません。このメールは私共が関知せず送信されたもので、booking.comに対して通報するとともに、原因を調査しております。私どもは支払い方法の詳細について直接お客様にお尋ねすることはありませんし、予定もございません。支払い方法についての詳細に関しての連絡はbooking.comが行い、私どもが関与することはございません（以下略）。

　このメールには、私とBooking.com、およびホテルしか知りえない予約番号等が記入されており、ホテル名でBooking.comのアカウント経由で届いていました。たまたま、前日にクレジットカードの請求書をチェックしていたところ、このホテルの予約代金が既に落ちていたことから、不審に思った次第です。予約サイトのチャット履歴を見ると、この日に当該ホテルから私宛てに4回メールが送信され、eメールアドレスに同じ内容で4回のメールが着信されています。チャット履歴はその後削除されており、何者かが当該ホテルに成りすまして私にメールを送信し、その後証拠隠滅していたことがわかりました。

　とろで、昨年11月15日に観光庁が、Booking.com利用者へのフィッシング被害に関する注意喚起を発表しています。このニュースを覚えていたことも、私には幸いしました。

　観光庁によると、Booking.com 社が提供し、宿泊施設で管理する宿泊予約情報管理システムに不正アクセスがあり、一部の旅行者に対しクレジットカードなどの情報を求めるフィッシングサイトへ誘導するメッセージが配信される事案が発生しているとのことでした。日本でもこれまでに株式会社ホテルグランヴィア大阪が6月2日に、株式会社共立メンテナンスは6月9日に、株式会社コスモスホテルマネジメントは6月12日に、竹川観光株式会社では8月15日に、Booking.com 管理システムへの不正アクセスがあったことを公表しています。

　Booking.com 社でも9月19日に、予約のあった顧客に対しメールやチャットでクレジットカード情報を求めたり、支払いを要求したりすることはないとしています。今回の件は、まさに同じ手口でした。

　今回の状況から推察すると、犯人はBooking.com社のシステムに不正アクセスし、宿泊施設のアカウント情報を入手した後、宿泊施設になりすまして宿泊予約者にメールを送信し、カード情報を盗もうとしていたと思われます。

　今回はBooking.com社のシステム経由のフィッシング詐欺未遂でしたが、他の予約サイトでも同様の手口でフィッシング行為が行われる可能性は否定できません。

　一目でフィッシング詐欺とわかるようなメールアドレスではなく、ホテルやBooking.com社の正式なアカウントからメールが送られてくるので、見抜くのは簡単ではありません。ご旅行を計画されている皆さまにおかれましても、くれぐれもご注意いただけますよう共有させていただきます。

参考になったら、「プロフィール」のバナーをクリックお願いします。過去の記事リストがあります。シリーズ通してご覧いただければ嬉しいです。