出張のホテルや交通機関に潜むセキュリティ脅威
宿泊業、旅行業、空港などを含むレジャー・ホスピタリティ業界では、アジア太平洋地域における2024年4〜6月のサイバー攻撃が前年同期比で5%増加したという(写真:mits / PIXTA)
コロナ禍が明け、会議や商談も対面に戻りつつある。しかし、遠方への出張などで宿泊先に滞在する際は身近にセキュリティ脅威が潜んでいることも忘れてはいけない。デジタル化が進む今日、ホテルや交通手段の予約サイト、移動時のWi-Fi利用にも危険が潜んでいるのだ。
レジャー・ホスピタリティ業界への攻撃は増加傾向に
サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら
チェック・ポイント・ソフトウェア・テクノロジーズの調査部門である脅威インテリジェンス部門「チェック・ポイント・リサーチ(Check Point Research)」によると、2024年4〜6月においてグローバル全体のサイバー攻撃は、前年同期比で30%増加した。
1組織あたり、1週間に受ける平均攻撃数は1,636件と過去2年間で最大の頻度となっている。国内でも前年同期比で29%と大幅に増加し、1組織あたりが1週間に受ける平均攻撃数は1,389件を観測した。宿泊業、旅行業、空港などを含むレジャー・ホスピタリティ業界においても、アジア太平洋地域における2024年4〜6月のサイバー攻撃は前年同期比で5%増加した。
(画像:筆者提供)
2024年5月には夏休みに関連するサイバー詐欺の急増が観測されている。具体的には、休暇やバケーションに関連するドメインが昨年同期と比べ大幅に増加しており、新たに登録された25,668件のうち、33件に1件が悪質または疑わしいものとして確認されている。
宿泊施設になりすまして宿泊客にメールを送付する
サイバー攻撃者がレジャー・ホスピタリティ業界を狙う大きな要因は、そこに集まる豊富な個人情報だと考えられる。現在、ほとんどの人が交通チケットや宿泊先をWebやアプリで予約しており、各プラットフォームには多くの顧客情報が保有されている。これが、サイバー攻撃者にとっては「宝の山」なのだ。
実際に国内でも、顧客情報の大規模な流出が報道されている。2021年3月には、全日本空輸(ANA)が、マイレージ会員の情報約100万人分が流出したと発表した。原因は、同社の使用する予約システムを提供していた会社がサイバー攻撃を受けたことだった。
攻撃者による「宝」の活用方法の1つとして、一般利用者のアカウント情報を盗み、蓄積されたマイレージポイントをアンダーグラウンドで販売するという事例がある。もし、今後の無料フライトや宿泊時の大幅な割引を期待してコツコツ貯めてきたポイントが、何者かによって使用されていたら……。想像するだけでも非常に残念な事態だろう。
全体的な攻撃数の増加に加え、個々の攻撃の巧妙さも格段に上がっている。
宿泊予約サイトのBooking.comは昨年から、宿泊施設側にセキュリティに関する注意喚起を行っている。言及されている攻撃手口は、まず攻撃者が宿泊施設の管理アカウントのユーザー名とパスワードを騙し取って乗っ取り、施設になりすまして宿泊客にメールを送付する。そして「事前決済」などと称して偽サイトに誘導し、クレジットカード情報などを入力させて窃取するのだ。同様の被害は国内でも相次いでいると報道されており、今年4月時点で少なくとも21都道府県118カ所の宿泊施設が被害を公表している。
これに関してチェック・ポイント・リサーチは昨年、「一番人気の仕事」という謳い文句で不正アクセスの協力者を求めている疑いが強い「求人広告」を発見している。この広告からは、匿名性が高い「ダークウェブ」と呼ばれる闇サイトにて、報酬と引き換えにサイバー攻撃の実行役を得ている実態が浮かび上がる。サイバー攻撃のエコシステムは、もはやビジネス化しているのだ。
闇サイト上で実際に発見されたメッセージ。タイトルには「Booking.comでの仕事。今、一番人気の仕事」と書かれており、ホテルへ不正アクセスすることを目的とした協力者を募集している。投稿には報酬金額や1日の想定作業時間など、条件の提示も記載されている。(画像:チェック・ポイント・リサーチ提供)
予約サイトを装った従来の攻撃も継続されている。
偽サイト: booking-secure928[.]comとagodabooking[.]top (画像:筆者提供)
偽サイト: agodabooking[.]top (画像:筆者提供)
個人で宿泊サイトを利用する際は、以下のようなやりとりに注意していただきたい。
1. 緊急性を煽る連絡:宿泊先からメールやメッセージを通じて「すぐに振り込まないと予約がキャンセルになる」などと早急な対応を求めてくるケース。フィッシング攻撃ではしばしば、被害者を不安にさせて正常な判断を妨げる手段が用いられる。
2. 個人情報の入力を求める連絡:決済情報としてクレジットカード情報やユーザー名、パスワードなどを入力する際、攻撃者が用意した偽サイトに誘導されているリスクがある。少しでも怪しく感じたら、ドメインを注意深く確認したい。誘導されたサイト内にある問い合わせ先ではなく、改めて正規の問い合わせ先を検索して確認・連絡するのも有効だ。
旅行会社から請求書をダウンロードしたらマルウェア感染
以下は、「信頼できる」旅行会社を装ったフィッシングメールに、請求書に見せかけたpdfファイルを添付し、「AgentTesla」という情報窃盗型のマルウェアをダウンロードさせる攻撃だ。
この例では、「noreply@b00king[.]biz」という偽のメールアドレスから、「Booking.com Invoice 3255753442」という件名のメールが送信されており、そこに「Invoice-3255753442.pdf」というPDFファイルが添付されている。PDFファイルを開こうとすると、「リーダがサポートされない」というメッセージとともに攻撃者が仕掛けたページにリダイレクトする。その後、PDFファイルを開いているように見せかけながら、さらに正規のBooking.comのメインページにリダイレクトする。一見正常に見えるが、この間に悪意のJavaスクリプトファイルがダウンロードされており、マルウェアをダウンロードしてしまうという仕掛けだ。
添付されたInvoice-3255753442.pdfを開くがリーダが対応していないメッセージ(画像:筆者提供)
ファイルを開いているように見せかけつつ、正規のBooking.comのメインページにリダイレクトする(画像:筆者提供)
2つの悪質なJavaスクリプトファイルをダウンロードしながら、最終的に正規のサイトにたどり着くため、マルウェアのダウンロードに気づきにくいのだ。
もちろん、宿泊サイトに限らず交通関係のサイト利用時にも注意が必要で、例えば国内では「えきねっと」を装うフィッシングメールなどが多くみられている。
外出先のWi-Fi利用も要注意、重大な情報漏洩につながることも
出張時は、公共交通機関や宿泊先、飲食店などが提供するフリーのWi-Fiに接続する機会もあるだろう。その際は、機密情報の漏洩をはじめとする様々なリスクに注意しなければならない。
Independentの調査によると、公共のWi-Fiを利用する人の3分の2が、近くのWi-Fiに自動接続する設定にしており、安全なネットワークかどうかを吟味していないという。
特に、鍵マークがついていないWi-Fiは通信が暗号化されないため要注意だ。通信が暗号化されないWi-Fiは、悪意ある攻撃者によって通信内容が傍受される危険性が大いにある。一方で、鍵マークがあっても必ずしもセキュリティが万全とは言えず、何かしらの要因で企業情報や個人情報の漏洩リスクはつきまとう。ビジネスパーソンが公共のフリーWi-Fiに会社のデバイスを繋ぐことは、基本的にお勧めできない。
攻撃者によって偽のアクセスポイント(AP)が仕掛けられ、情報が抜き取られるケースもある。今年7月にはオーストラリアの飛行便で偽のWi-Fiネットワークを運用した男が逮捕された。男は、航空会社が機内で提供するWi-Fiに似たSSIDを持つWi-Fiを運用し、誤ってアクセスを試みた乗客のメールアドレスやパスワードなどの詳細情報を自身のデバイスに収集・保存していた。同様に、空港のWi-Fiもターゲットにしていたという。
この攻撃は一般に「中間者攻撃」と呼ばれ、ホテルや空港などあらゆる場所で警戒されるべきものだ。公共のWi-Fiの使用は極力控え、テザリングやポケットWi-Fiなど安全性の高い接続方法の利用をお勧めする。もし公共のWi-Fiを使用する場合は、機密情報にアクセスしないという意識も必要だ。
まずは、近くのWi-Fiに自動接続する設定になっていないか見直すことから始めたい。加えて、通信内容を読み取られないようにVPN通信の利用も推奨する。
具体的な対策 - 巧妙化するサイバー脅威と闘うには
デジタル化が進む現代社会のビジネスパーソンにとって、サイバーセキュリティの知識はもはや「必須教養」とも言えよう。出張や日常業務の中で、私たちはつねにサイバー攻撃のリスクと隣合わせであり、今後も予期せぬリスクの出現が予想される。
巧妙化する攻撃手法から個人情報や企業情報を守るには、常に警戒心を持ち、セキュリティ対策を怠らないことが不可欠だ。不審なメールや偽サイトに注意を払い、
1) サイトのURLがhttpsで始まっているか確認する
2) リンクが設定されていたり情報入力を求められたりした場合は、送信元サービスの正規のWebサイトからアクセスし直す
といった慎重な行動が事態の防止につながる。また、公共のWi-Fiの使用を控えるなど、基本的な対策を徹底することも重要だ。
今後のビジネス環境において、サイバーセキュリティへの理解と実践は、個人の安全だけでなく、企業の競争力や信頼性にも直結する重要な要素となるだろう。最新の脅威と対策に関する情報をつねにアップデートし、セキュリティ意識を高く保つことが求められている。
(卯城 大士 : チェック・ポイント・ソフトウェア・テクノロジーズ サイバーセキュリティオフィサー)