国内宿泊施設で相次ぐBooking.comを悪用したフィッシング、その手口と対策は？

年明けも被害が後を絶たず

国内の宿泊施設で2023年6月以降、Booking.com経由で宿泊施設を予約した宿泊客を狙ったフィッシングが相次ぎ発生しています。後述するように、その多くは、宿泊施設に対する不正アクセスやサイバー攻撃を伴う事案であると、公表されています。

11月には、こうした事例を複数の報道機関が報じましたが、その後も同様の被害が後を絶ちません。当社の集計では、被害の公表は2023年秋のピーク以降に一旦減少したものの、1月に再び急増し、2月に入ってからも確認されています（下図）。

当社は戦略的脅威インテリジェンスのマネージドサービスの一環として、国内のセキュリティインシデント情報を収集しています。そうした中、6月、「Booking.comを経由して宿泊施設を予約した顧客に、フィッシングサイトへ誘導するメッセージが送られた」という共通項を持つプレスリリースが、複数の宿泊施設から発表されたことを確認し、直ちに一部のお客様に注意喚起を行いました。その後、被害を受けた複数の施設から、原因が「ホテル端末のマルウェア感染」であるとのリリースが出されたことを確認し、お客様に共有しました。そして9月末には、ある海外セキュリティベンダーのブログから、海外の類似事案では情報窃取型マルウェアが使用され、感染経路は宿泊施設に対するフィッシングであったとの情報を得、再度お客様に注意喚起を行いました。

何が起こったのか？　各施設が公表した内容から

当社が収集している国内組織のプレスリリースのうち、「Booking.com経由で宿泊施設を予約した宿泊客へのフィッシング」という共通項を持つものは、80件確認されています（2024年1月末時点）。

80件のうち、「不正アクセス」または「サイバー攻撃」に言及したリリースは65件（81%）、顧客個人情報の閲覧、漏洩または流出の可能性があると記載したものは22件（28%）でした。よって、少なくとも8割近くで不正アクセスが併発していたことが分かります。

一方、不正アクセスの原因を公表したのは12件で、全体の15%（不正アクセスに言及したリリースの18%）に留まりました。なお、リリースの第1報で明記したのは1件で、残り11件は続報での公表でした。原因は12件とも、ホテル端末のマルウェア感染とのことです。

また、フィッシングサイトに誘導された宿泊客がクレジットカード情報を要求されたことが読み取れるリリースは53件（66%）、宿泊客へのフィッシングメッセージがBooking.comの正規の連絡ルートを通じて送られたことが読み取れるリリースは45件（56%）確認されました。よって、全体の半数以上で「クレジットカード情報の要求」または「管理システム経由でのフィッシング」が確認されています。

なお、80件の中には、Booking.comだけでなくAgodaやExpediaを装ったフィッシングも行われたとするリリースが含まれています（Agodaが2件、Expediaが1件）。

以上のようにインシデントの公式発表の内容は多様で、詳細や原因の推定は難航しました。しかし、信憑性の高いソースである公式発表における互いの共通点から徐々に詳細が浮かび上がり、情報収集の網を海外の情報ソースへと広げる際の手がかりを得られました。

当てはまったら要注意！考えられる攻撃の手口

さて、9〜11月には、国内外の複数の公開情報源で、「Booking.com経由で宿泊施設を予約した宿泊客へのフィッシング」の手口が報告されました。以下は、報じられた手口について当社がまとめたものです。

当然ながら、以下は当社が収集した手口の一例であり、全ての国内事例における実際の攻撃の流れが網羅されているとは断定できません（よって、以下の内容への対策を取っても攻撃を防げない可能性はあります）。しかし、もし読者の皆さんの中に宿泊施設関係の方がおり、以下の内容に心当たりがある場合は、早急に確認・対処いただくことをお勧めします。

攻撃の流れ

画像1：マルウェア感染までの攻撃フロー（[1]より引用）

①攻撃者がホテルに宿泊予約

②攻撃者がホテルデスクに問い合わせメールを送信

メール本文は英文。メールの内容は、「食品アレルギー対応の事前相談」（下の画像）や「ホテルへの道順を尋ねる」内容など、ホテルスタッフのホスピタリティ精神を逆手に取ったもの。

画像2：フィッシングメールの例（[1]より引用）。「宿泊客がアレルギーを起こすかもしれない洗剤の名前と写真」を含むとされるファイルを「Google Drive」のリンクで共有している。

メール本文

[“allergies”, “allergy”, “hotel”, “booking”, “reservation”, “guest”, ”medical”, “doctor”, “medical”, “illness”, “sick”, “wheelchair”, “allergic”, “compensation”, “unsatisfactory”, “dissatisfaction”]

ファイル名

[“allergy”, “hotel”, “report”, “medic”, “recommendation”, “information”, “requirements”, “booking”, “payment”, “confirmation”, “reservation”, “document”]

また、メールには一般的に使われるファイル共有サービス（“drive.google.com“, “docs.google.com“, “filetransfer.io“, “gofile.io“, “cdn.discordapp.com“, “dropbox.com“, “mega.nz“, ”filedn.com”）へのリンクを記載[1]。メール受信者の警戒を緩めるためか、2回目以降のやり取りでリンクを添付するケースあり[10]。

③ホテル端末がマルウェアに感染

ホテルスタッフが上記ファイル共有サービスから圧縮ファイル（“7z”, “zip”, “rar”, “rev”, “bz2”）[1]をダウンロード。これを攻撃者提供のパスワードを使って解凍すると、PDFアイコンの実行ファイルが抽出される。この実行ファイルを開くと、有害コードが実行され、ホテルの端末がマルウェアに感染する。

使用されたマルウェア種として、“Vidar”, “StealC”, “Lumma”, ”Redline”, ”DCRAT”が確認されている[1][5]。

④攻撃者が認証情報を窃取

攻撃者は、ホテルが利用するBooking.comの管理システムの認証情報を窃取。マルウェアがパスワードのみを窃取していたとの報告[10]あり。ただし、攻撃者が顧客情報にアクセスして次の段階のフィッシングに悪用したとの情報もあり[2]。

⑤攻撃者が宿泊客にフィッシングメッセージを送信

攻撃者は窃取した認証情報を利用し、管理システムに不正ログイン（多要素認証を何らかの方法で突破との情報あり[5]）。また、管理システムのチャット経由で、フィッシングサイトへ誘導するメッセージを宿泊予約者に送信。フィッシングサイトでは、予約者にクレジットカード情報の入力を促す。

参考資料

[1] Perception Point, 2023/9/14, Stealing More Than Towels: The New InfoStealer Campaign Hitting Hotels and Travel Agencies

[2] Perception Point, 2023/9/27, Booking.com Customers Hit by Phishing Campaign Delivered Via Compromised Hotels Accounts

[3] Akamai, 2023/9/21, Unmasking a Sophisticated Phishing Campaign That Targets Hotel Guests | Akamai

[4] Akamai, 2023/10/19, Deep Analysis of Hospitality Phishing Campaign Shows Global Threat | Akamai

[5] LAC WATCH, 2023/10/23,コロナ禍から回復中の観光業を標的としたサイバー脅威に対する注意喚起

[6] 東京新聞（共同）, 2023/11/11, ホテル狙うサイバー攻撃に注意 客の相談装い、不審メール

[7] 朝日新聞, 2023/11/11, ブッキング・ドットコム悪用して客のカード情報盗む　世界規模で被害

[8] 朝日新聞, 2023/11/11, 客もホテルも巧妙に欺く、不正アクセスの手口　ロシア系ハッカー浮上

[9] 時事通信, 2023/11/14,  サイト悪用、カード情報盗まれる　ブッキング・ドットコムで―斉藤国交相

[10] Secureworks, 2023/11/30, Vidar Infostealer Steals Booking.com Credentials in Fraud Scam

[11] 朝日新聞, 2023/12/16, 犯罪集団、ロシアの闇掲示板に集結　ブッキング・ドットコム悪用詐欺

確認したいポイント

記事冒頭のグラフの通り、「Booking.com経由で宿泊施設を予約した顧客へのフィッシング」は年明け以降、少なくとも11件発生しています。全ての宿泊施設において、「最近、予約者からのメールに添付された圧縮ファイルを従業員が開かなかったか」や、「社内の端末が“Vidar”, “StealC”, “Lumma”, ”Redline”, ”DCRAT”といったマルウェアに感染していないか」を、ご確認いただくことを推奨します。ホテルチェーンであれば、同じ系列の他の施設で同様の被害がないかご確認いただくことが推奨されます（プレスリリースを見る限り、既にそうした対応が済んでいるチェーンが多いように見受けられます）。

観光庁、日本ホテル協会も情報発信

11月には観光庁が注意喚起を行いました。日本ホテル協会も11月、12月、2月に、今回の事案関連と見られる情報共有を、会員専用のサイトで行っています。

参考資料

[12]観光庁, 2023/11/15, Booking.com利用者へのフィッシング被害に関する注意喚起 

[13]日本ホテル協会, 2023/11/14, 【会員向け】ブッキング・ドットコムを悪用したフィッシング詐欺

[14]日本ホテル協会, 2023/12/12, 【会員向け】ブッキング・ドットコムを悪用するフィッシングの手口

[15]日本ホテル協会, 2024/2/19, 【会員向け】Booking.comを悪用したフィッシング詐欺への注意喚起

同様の不正アクセスを防ぐには？

最低限やっておきたい3つの対策

さて、上記の手口では、宿泊客にフィッシングメールが送られるまでに、「①宿泊施設スタッフへのフィッシング」「②フィッシングを起点としたマルウェアへの感染」「③マルウェアが盗んだID・パスワード等による管理システムへの不正アクセス」という3つの段階が関与しています。同じ手口への対策ということであれば、これら各段階ごとに、技術的対策と人的対策を講じることが有効です。例えば、最低限のものとして、以下の対策が挙げられます。

①フィッシングの手口と対策について定期的に情報を収集し、周知と対策を

今回のフィッシングは、「ホテル従業員のホスピタリティ精神に訴えかける文面を用いる」「最初のメールではマルウェアを配布しない」「マルウェアの配布を添付ファイルではなく正規のクラウドストレージへのリンク経由で行う」といった、巧妙な手口を使ったものです。ハッカーは技術的弱点はもとより人間の心理的弱点をも利用することから、こうした最新の手口について、定期的に周知と対策を行っておくことが重要です。

②ウイルス対策ソフトの更新やEDRの活用

ウイルス対策ソフトを導入していたが検知できなかったという、国内の事例も報告されています。マルウェアは日々進化しているため、ウイルス対策ソフトのパターンファイルは、常に最新のものに更新する必要があります。

また、万一検知できなかった場合に備え、マルウェアに特有の悪質な振る舞い（例えばハッカーのサーバーとの通信など）を検知して、活動を阻止できるEDRや、そのマネージドサービスを導入することは、被害を食い止めたり事後調査を行ったりする上で有益です。

関連記事：EDRは必要？アンチウイルスやEPPとの違い、運用コストは？

関連サービス：CYCRAFT（EDR製品）

③管理システムなど利用サービスのアカウントで、多要素認証の導入を検討する

Booking.comの管理画面ではモバイル機器による2要素認証が利用可能とのことです（Booking.com, Safety Tips for Partners *注：Booking.comのサイトに遷移します）。

今回は2要素認証を導入済みにも関わらず突破されたとの例が報告されていますが、攻撃者にとって一層回避の難しい認証方式を導入することは、被害の軽減に役立ちます。サービスを導入する際には、どのような認証方式を採用しているかを考慮しましょう。

当社マキナレコードでは、ゼロからのセキュリティ体制構築支援から顧問サービス、ISMSなどの認証取得支援、また脆弱性診断やペネトレーションテストサービスまで、幅広い支援サービスを提供しています

新たな脅威に対処するための情報収集、脅威インテリジェンスの活用

今回の例に限らず、攻撃者は人とシステムの弱点を突く新たな手口を、次々と生み出しています。このような新たな脅威に対処するには、情報をいち早くキャッチし、自社内で上手に活用することが欠かせません。なお、上記と似た手口は、海外では2023年の早い段階で報告されていたことが分かっています。インターネット上の全ての公開情報を収集・可視化するツールSilobreakerにて、「ホスピタリティ業界」「フィッシング」という簡単なキーワードで検索すると、こうした記事がヒットします（下図）。

2023年1月31日には、スイスNCSCが同国やフランスで確認された類似の手口を報告していました[16]。3月には、RedLineスティーラーによる同様の手口を報じた、ある大手セキュリティベンダーのブログ[17]がヒットしています。さらに7月には、宿泊施設への同様のフィッシングがWhatsApp経由で行われたという海外の事例を報じた記事[18]がヒットします。

このように、自社の業界や事業領域と攻撃タイプに言及した記事を検知するキーワードを予めセットしておき、新たな脅威が現れ次第すぐにアラートを受け取ることで、自社をめぐる最新の脅威情勢をつかむことができます。最新の情勢認識は、自社が同様の攻撃を受けたことが疑われた際に、初動対応や調査をスムーズに実施する上で参考になるでしょう。もちろん、平時のセキュリティ対策の戦略や方向性を決める上でも役立つでしょう。

とはいえ、世界中のWebサイトやSNSから毎日情報を収集をすることを業務として行うには、それなりの人的リソースが必要です。まして、収集した情報を分析してチームの意思決定に活かすためのリソースを割くとなると、さらなるリソースが求められます。Silobreakerのような脅威インテリジェンスツールを活用することで、Webからの情報収集、および図表への可視化を自動化することができます。これにより、貴重な人的リソースをトレンドの把握やチーム内での共有や議論といったタスクに振り向け、より良い意思決定につなげることが可能になります。

参考資料

[16]スイスNCSC, 2023/1/31, Week 4: Malware in hotels: booking data used for fraud against hotel guests

[17]Trend Micro, 2023/3/2, Managed XDR Exposes Spear-Phishing Campaign Targeting Hospitality Industry Using RedLine Stealer（日本語版）

[18]Votiro, 2023/7/6, WhatsApp Phishing Attack Targets Hospitality Industry | Votiro

ダークウェブへの認証情報漏洩の監視

ダークウェブでは、情報窃取型マルウェアに感染した端末から盗まれた情報がまとめ売りされています。実際、日本の宿泊施設から情報窃取型マルウェアによって抜き取られたものと見られる管理画面の認証情報を、当社では確認しています。ダークウェブ等不法コミュニティの監視ツールであるFlashpointは、こうした情報漏洩の迅速な検知と攻撃の封じ込めを可能にします。

漏洩監視のマネージドサービスも提供中

なお、Flashpointの運用と、収集した情報の分析、監視結果の報告をお客様に代わって行う、マネージドサービスも提供しております。ダークウェブ上の情報は、扱いが難しく数も膨大です。こうした情報をマキナレコードのアナリストが分析し、ホテル宿泊業界の企業様の情報ニーズに沿った脅威インテリジェンスレポートという形で提供することが可能です。

インテリジェンスのことならマキナレコードへ！

記事内に何度か登場した脅威インテリジェンスは、ISMSの2022年版（ISO/IEC 27001:2022）において新たに管理策として追加されています。当社では、脅威インテリジェンスに業務として取り組むためのトレーニングや、導入のためのコンサルティング業務も提供しております。

1. インテリジェンストレーニング

インテリジェンスに業務として携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング（オプション）など、幅広く学習できる最大2日間のトレーニングコースです。

2.コンサルティング（インテリジェンスの導入支援）

インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。「インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない」「情報が散在しており、活用しきれていない」「どういった情報があつめられ、どのように活用すればいいかがわからない」といったお客様向けに、「要件定義の策定支援」や「インテリジェンスを始めるにあたっての基礎トレーニング」「必要なツールの選定」「インテリジェンスを活用するためのレポーティング手法」「他サービスとのインテグレーション」「運用支援」といったサービスを提供いたします。