1. 「予約サイト経由なら安全」が崩れた #
国内のセキュリティ情報サイトが、世界最大級の宿泊予約プラットフォーム Booking.com で発生したアカウント乗っ取り事案を相次いで報じている。あるホテル事業者では、Booking.com の販売者(パートナー)管理画面に不正アクセスされ、売上金の受領口座が攻撃者の口座に書き換えられた結果、約 900 万円の損失が発生した。同時期に「ホテルグランバッハ京都セレクト」「ホテルサンルート浅草」など、Booking.com 経由で予約した顧客に ホテルを名乗る不審メッセージが Booking.com のチャット機能経由で届く という被害も複数発覚している。
2. 一つの "鍵" で二段攻撃が可能な構造 #
OTA (Online Travel Agency) のパートナーアカウントは、宿泊業界における "最強のクレデンシャル" と言える。乗っ取られた瞬間、(a) 振込先口座の改ざん、(b) 予約済み顧客への "正規アプリ内チャット" を装ったフィッシング送信、の両方が可能になるからだ。今回の事案も、ベンダ正規ドメイン (booking.com) からメッセージが届くため、利用者側からはまず見抜けない。これは典型的な ID 連鎖型サプライチェーン攻撃 で、攻撃者がホテル担当者を info-stealer や AiTM フィッシングで一度踏ませれば、その下流に数千〜数万の宿泊客が並ぶ構図になる。
3. ホテル側 / 利用者側に必要なこと #
ホテル側は Booking.com Extranet の二要素認証必須化と、フロント PC の info-stealer 感染チェックを徹底すべきだ。Booking.com 自身も近年「振込先変更時のアウトバンド確認」を強化しているが、運用任せの面は大きい。利用者側は、たとえ正規ドメインのチャットでもカード番号や追加決済を求められたら別経路でホテルに電話確認することを徹底したい。"正規プラットフォーム = 安全" という前提自体が、もはや成り立たないフェーズに入っている。
COMMENTS 0
No comments yet — be the first to leave one.