観光庁、ブッキング・ドットコムに原因究明要請　予約情報使ったフィッシング被害相次ぐ　海外でも類似事例

　観光庁は2026年6月17日の定例会見で、宿泊予約サイト「ブッキング・ドットコム」を通じて予約した旅行者に、予約先のホテルを装った不審なメッセージが相次いで届いている問題を受け、同社に原因究明を要請した。

　不審なメッセージは、メッセージアプリWhatsAppなどで届く。実際の予約番号や宿泊日程を示し、「クレジットカード情報が確認できない」「手続きしなければ予約がキャンセルされる」などと不安をあおって偽サイトへ誘導する。

　正規の予約情報が記載されているため、旅行者が予約先のホテルからの連絡と誤認しやすい。WhatsAppは電話番号をもとにメッセージを送れるため、第三者が予約情報と電話番号を入手すれば、ホテルや予約サイトの担当者を装って旅行者へ直接連絡できる。

　日本ホテル協会の6月12日の発表によると、2026年のゴールデンウイークごろから、ブッキング・ドットコムで加盟ホテルを予約した旅行者にフィッシングメッセージが届く事例が相次いでいる。

　被害が報告されたホテル側の管理システムには、異常や情報漏えいの形跡は確認されていないという。一方、ブッキング・ドットコムからは原因や影響範囲について十分な説明が得られていないとして、同協会と加盟ホテルは早急な調査と結果の開示、再発防止策を求めていた。

　同社は観光庁の要請に先立つ6月5日、コーポレートサイトに注意喚起を掲載した。冒頭で「お客様のセキュリティとデータ保護に全力を尽くしています」、末尾で「皆様をお守りするために、私たちはお手伝いいたします」と記し、文中で「お客様のご予約を保護するために、現在実施している強固なセキュリティ対策を継続的に強化・拡充してまいります」と自社のセキュリティ対策を評価した。

　観光庁の定例会見後、原因や影響範囲に関する利用者に向けた説明は発信していない。

豪州では予約情報への第三者アクセスを通知

海外では2026年4月、ブッキング・ドットコムが一部利用者に対し、第三者が予約情報へアクセスした可能性があるとメールで通知していたことが明らかになった。

同社はオーストラリアのABCニュースの取材に、一部の予約に関する不審な活動を確認し、利用者へ通知したと説明した。アクセスされた可能性がある情報には、予約内容、氏名、メールアドレス、住所、電話番号、宿泊施設と共有した情報などが含まれるとしている。

　この海外事案では、予約内容や個人情報を記載したWhatsAppメッセージが利用者に届いた例も報じられた。今回国内で確認されている手口と類似するが、両者の直接的な因果関係は明らかになっていない。

　ブッキング・ドットコムの予約情報を悪用したフィッシング詐欺は、2023年ごろから海外で相次ぎ、オーストラリアでも問題となっていた。ガーディアン豪州の取材に、同社の広報担当者は「一部の宿泊施設のBooking.comアカウントが不正アクセスを受け、詐欺者が宿泊施設になりすましてメールやメッセージで宿泊客に連絡できる状態になった」と説明している。

　日本でも2024年までに同様の事例が確認されていた。ホテルJALシティ福岡 天神は同年7月、「ブッキング・ドットコムが提供し、弊社で管理しているシステムを使用してフィッシングサイトへ誘導するURLリンクが貼付されたメッセージが配信されていることを確認した」と公表した。一方、ブッキング・ドットコムは自社サービスのバックエンドシステムやインフラへの侵害はないと説明していた。

2023年には宿泊施設へ数千万の入金遅延

　国内のブッキング・ドットコムを巡っては2023年、旅行者が同社に支払った宿泊代金が宿泊施設へ期日通りに振り込まれなかった。一部施設では遅延額が数千万円規模に上り、経営者らが損害賠償を求めて提訴する事態に発展した。