昨年の夏、サイバー攻撃の波が世界中のホテルを襲い、 予約プラットフォーム「Booking」のユーザーが主な標的となった。サイバー犯罪者は、多くの施設の脆弱なサイバーセキュリティ対策を悪用してシステムにアクセスし、(前述のプラットフォームまたはメッセージング アプリから)ホテルの ID になりすまして顧客に連絡しました。
最も注目すべき事例の 1 つは、ビルバオにあるピロー ホテル チェーンの一部であるイララ ホテルの事例です。この施設は2023 年 1 月に攻撃を受け、サイバー犯罪者がその企業電子メール、つまり予約データにアクセスすることに成功しました。
この抜け穴を利用して、ホテルの支配人を装って顧客に WhatsApp メッセージを送信し、犯罪者が被害者の財務データを入手できる詐欺的なリンクを通じて予約の確認を要求しました。
AEPD 決議に記載されているように、申立人が受け取った WhatsApp メッセージには次の内容が含まれていました。
「こんにちは、[ユーザーの名前]。Booking.com で当アパートメントをご予約いただきました。私はホテルマネージャーです。お会いできることを楽しみにしています。ただし、ご予約を最終的に確定する必要があることをご承知おきください。ご希望の場合はお知らせください。」予約が更新されましたのでご確認いただけます。」
予約が確認されると、2 番目のメッセージが受信されます。
「わかりました。予約を確認するには、次の Web リンクに従ってください: [悪意のある URL]。お支払いは Booking.com との契約条件に従って処理されます。無料のキャンセル オプションがあります。キャンセルについて心配する必要はありません。」ご理解いただきありがとうございます。」
そのとき、ユーザーはホテルにインシデントを報告する電子メールを送信しました。
「あなたを装った WhatsApp メッセージを受け取りました (スクリーンショットを添付)。彼らは私のフルネームと電話番号を知っていたため、セキュリティ侵害があることがわかります。
一方で、あなたになりすましている人物を報告すること、そしてより重要なことに、顧客のデータを確実に安全に扱うことをお願いします。この点に関するあなたの行動を私に知らせてください。」
ホテル側は、同様の事例が他にもあることをすでに認識していると回答した。
ホテルに対する罰金と、このすべてにおけるブッキングの役割
新しいホリデーシーズンを迎える今、スペインデータ保護庁(AEPD)は、宿泊客の個人データを適切に保護しなかったホテルに対し、7,000ユーロの罰金を科した。
ただし、ホテルが責任を負い自主的に支払ったため、この金額は 4,200 ユーロに減額されます。この制裁は安全対策の欠如だけでなく、当局や被害者への事件の通知がなかったことも原因となっている。
AEPD はさらに、ピロー ホテルが 2023 年 8 月に少なくとも 2 回目のセキュリティ侵害を受けていたことを発見しました。 1 月の事件と同様に、この事件にはシステムのパスワード違反が伴いました。ホテル側は、この二度目の攻撃は自社のシステムではなく予約側から発生したと主張したが、AEPDはこのバージョンを確認できなかった。
仲介プラットフォームである Booking は、これらの攻撃がどのように発生するかを説明しています。サイバー犯罪者はフィッシング リンクをホテルに送信し、クリックされるとホテルのシステムへのアクセスを許可するマルウェアをダウンロードします。
ブッキング社は自社システムの侵害を否定しているが、一部の宿泊施設提供者がこうした攻撃の被害に遭っていることは認めているが、これを踏まえ、こうした詐欺行為を防ぐための「指導と訓練」を提携先に提供していると主張している。
経由 | AEPD( PDF )