一昨日、Booking.comのサイトを利用したフィッシングメールについて報告させていただきました。その後、他のホテルからも同様のメールを受け取りました。この問題は、最初に報じられて以来、終息するどころか海外のホテルまで拡散が広がっていることがうかがわれます。

　新たにメールを送信してきたホテルでは、すぐに「このメールは意図せずに送信されたものである」と注意を促す一方、「原因がBooking.comのシステムの脆弱さのため」と説明しています。

　しかし、いろいろ状況を調べてみると、事実は異なっているようです。Booking.com社のリリースによると、同社のシステムに不正アクセスがあった形跡はないとのことです。同社や様々な報道によれば、犯人はまずホテルにフィッシングメールを送り、ホテルがこれを開封したことでホテルのPCをウイルスに感染させ、ホテルのBooking.comのログイン・パスワードを入手し、予約情報を入手。個人情報を使って予約者にメールを送信し、クレジットカード情報を盗み取ろうとしていたことと思われます。問題は、Booking.com社のシステムの脆弱性ではなく、ホテル側のリスク管理の甘さにあったことになります。

　そうなると、事情は大きく変わってきます。不正アクセスが報じられたことで、「Booking.comを使わなければよい」と考えれば済む問題ではなくなります。いくらサイトのセキュリティがしっかりしていたとしても同様な手口で他の予約サイトでも問題が起きると考えるべきでしょう。むしろ、従業員教育がきちんとしているホテルを選ぶことがフィッシング詐欺から身を守る最善の方法であります。

　今回のフィッシングは手口が非常に巧妙です。アドレスの接尾がcnで終わっていたり、発信メールのアカウントを変えて何度もメールを送ってくるアマゾン・ドットコムに見せかけたフィッシングメールのように簡単に見破れるものではありません。くれぐれもうかつにメールを開かずに、同様なメールを受け取ったらフィッシング詐欺の事例がないか調べるとともに、ホテルに直接問い合わせる、などの自己防衛が必要です。

参考になったら、「プロフィール」のバナーをクリックお願いします。過去の記事リストがあります。シリーズ通してご覧いただければ嬉しいです。