ホテルを装った不審メッセージが問題に(写真はイメージ)

写真拡大

国内で100以上のホテルを運営するポラリス・ホールディングス株式会社が、世界最大級の宿泊予約サイト「Booking.com」(ブッキング・ドットコム)と同社を結ぶシステムの「グループアカウント」に不正アクセスを受け、ホテルの資金を扱う銀行口座情報を改ざんされ、約900万円の被害が出ていたことが明らかになった。口座改ざんと同じ時期に、宿泊予約客に対するフィッシング詐欺目的の不審メッセージも確認されたという。

「グループアカウント」における異常を検知

Booking.com経由の予約情報流出とホテルを装った不審メッセージの問題では、これまでにJ-CASTニュースの調べで、帝国ホテルホテルオークラ神戸、ホテルニューオータニ大阪、京王プラザホテルアパホテル、藤田観光系のWHGホテルズ、東武ホテルホテル京阪など多くの宿泊施設で事例が判明している。

ポラリス社が900万円の被害についての告知を公式サイトに掲載したのは2026年5月28日。それによると、同年5月23日に、Booking.comのシステム上の同社の「グループアカウント」における異常を検知したという。調査の結果、傘下の複数のホテルの売上金の口座情報が改ざんされていたことが発覚。そのうち一つのホテルからは、資金の一部が不正な口座に振り込まれ、「現時点で約900万円の損失が発生している」という。同社は取材に対し、調査中であることを理由に改ざんの時期や不正アクセスの手口は明らかにしていない。

予約客に詐欺目的のメッセージが送信されている

一方、この900万円被害と同時期に、個々のホテルがBooking.comのシステムで予約情報を扱う「管理画面」も不正アクセスを受けた可能性があるといい、予約客にフィッシング詐欺目的のメッセージが送信されているという。

Booking.comが提携ホテル側に提供するシステムで、「グループアカウント」と「管理画面」は密接な関係にある。いわば親子のように、複数のホテルを運営する本社が「グループアカウント」によって、各ホテルの「管理画面」をひとくくりに統括管理する仕組みとみられている。

Booking.comにアクセスログの開示要請と調査実施を協議中

ポラリスは国内で101ホテル、海外で15ホテルを運営する。そのうち「ココホテルズ」は異常検知の前日である5月22日に「当ホテルグループおよび宿泊予約サイトを装った不審なメールやメッセージ」への注意喚起を公式サイトに載せていた。それによると「特に、Booking.comのメッセージ機能やWhatsApp等のメッセージアプリを通じて、不正なリンクへ誘導する事例」があり、リンクにアクセスしないよう予約客に呼びかけていた。

ポラリスは5月28日の告知で「現時点において、顧客のクレジット情報の漏洩は未確認」とし、個人情報の漏洩の有無や範囲について「精査中」としている。また、関連システムのパスワードを全てのホテルで変更したといい、Booking.comに対してはアクセスログの開示要請と調査実施をめぐって協議していると述べている。

Booking.comの日本法人は取材に「引き続き関連する宿泊施設と連携し、状況の確認および必要な対応を進めている」と回答した。

(ジャーナリスト 橋本聡)