予約情報が流出?記者が体験した手口の一部始終は(写真はイメージ)

写真拡大

世界的な旅行予約サイト「Booking.com」(ブッキング・ドットコム)の予約情報が流出し、ホテルを装って詐欺目的のメッセージが予約客に届くケースが相次いでいる。私自身もその被害に遭った一人だ。顧客の被害を確認した日本のホテルが、続々と注意喚起を呼びかけている。

「リンダ」と名乗る人物がクレジット情報を聞いてきた「アパホテルの担当です」

「リンダ」と名乗る英文のメッセージが、スマホの通信通話アプリ「WhatsApp」(ワッツアップ)に届いたのは、ゴールデンウイーク中の2026年5月2日だった。

「私の名前はリンダ。アパホテル〇〇の管理担当です。あなたの予約がキャンセルされないように、クレジットカードの本人確認手続きをしてください」

私は昨年、Booking.comのサイトを通じ、首都圏にあるそのアパホテルに2026年6月中旬の宿泊予約を入れていた。届いたメッセージには氏名、予約番号、宿泊日程が正確に書かれている。WhatsApp は世界で20億人以上が利用している通信通話アプリだ。

しかし、待てよ。日本のホテルなのに、なぜ英語でこんな連絡を?よく見ると、発信元の電話番号のあたまは「+55」、つまりブラジルからだった。

Booking.comのカスタマーサービスから「専門チームに引き継ぐ」とメール

翌3日、アパホテルに電話してみた。フロントのスタッフは「不正アクセスがあったのかもしれない。対策はBooking.comにお尋ねください」と、カスタマーサービスの電話番号を教えてくれた。

Booking.comの本社はオランダにある。公式サイトによると45カ国語で予約に対応し、「2010年以降、68億人以上が利用してきた」と実績を誇っている。カスタマーサービスは「不審なメッセージのスクリーンショットを撮ってメールで送ってください」といった。そのとおりにすると、2日後の5月5日、返信メールが届いた。「専門チームに引き継ぎ、確認を進める」といい、不審メッセージのブロック・削除方法も教えてくれた。

それでも届く不審メッセージ「24時間後にアカウント制限」

これで一件落着かな。そう家族と話していたら、違った。5月12日、スマホの別のアプリ「Google(グーグル)メッセージ」に新たな不審なメッセージが届いたのだ。日本語で「ご注意:whatsapp〇〇長期未認証異常を検知。安全検証未完了は24時間後にアカウント制限」と書かれ、青い文字のリンクがついている。怪しい。クレジットカードなどの情報を盗むフィッシングサイト(詐欺サイト)に誘導したいのではないか。

ふたたびBooking.comにメールで連絡した。14日になって、「ご心配をおかけしたこと、お詫び申し上げます」と返信があった。「セキュリティチームが早急に対応を進めているが、再度同じようなメッセージが届く可能性もある」「不審なメッセージには対応せず、リンクにはアクセスしないように」と注意をうながされた。

「Booking.com経由の予約客に不審なメッセージが送信されている」

調べてみると、アパホテルと同じ時期に、複数のホテルの予約客にも同じような不審なメッセージが届いていたことがわかった。「株式会社東武ホテルマネジメント」が公式サイトでそれを認めたのは5月7日。「Booking.com経由の予約客の一部に、予約の確認を装ってクレジットカード情報の入力を求める不審なメッセージが送信されている」とし、「お客様には多大なご迷惑とご心配をおかけしていることを、心より深くお詫び申し上げる」と表明していた。

翌8日には、ワシントンホテルホテルグレイスリーをチェーン展開する「WHGホテルズ」(藤田観光が運営)も公式サイトで、同様な「不審なメール・メッセージ」について注意喚起。「悪質なフィッシングサイト(詐欺サイト)へ誘導するおそれのあるURLリンクが含まれている」と強調するとともに、「お客さまには多大なるご心配とご迷惑をおかけしている」とお詫びした。

ホテル京阪 浅草」、公式サイトでハッキングの手口を明らかにする

さらに12日には、「ホテル京阪 浅草」も加わった。「Booking.com社が提供する宿泊予約情報管理システム上の弊ホテルアカウントが、不正アクセスを受けた可能性がある」と、公式サイトでハッキングの手口を明らかにしている。

予約情報流出被害はどこまで広がっているのか。私はBooking.comの広報部門に取材を申し入れたが、5月18日17時までに回答はなかった。

(ジャーナリスト 橋本聡)