Booking.com、顧客データの侵害発生を認める

Booking.com、顧客データの侵害発生を認める

TechCrunch – April 13, 2026

Booking.comは13日、ハッカーが顧客の氏名、メールアドレス、電話番号、予約詳細などの個人データにアクセスした可能性があることを確認した。影響を受ける顧客の人数は明かされていない。

複数のオンライン投稿によると、同社は先週この侵害について顧客に通知していたとのこと。そのメッセージには漏洩したデータに加え、「宿泊施設と共有した可能性のあるすべての情報」も含まれていたという。

この通知をRedditに投稿したユーザーは、2週間前にWhatsApp経由で「予約詳細と個人情報」を含むフィッシングメールを受け取ったとされる。TechCrunchはこれを踏まえ、ハッカーが盗んだ情報を使ってBooking.comの顧客を標的にしたことを示唆していると記した。

また、Booking.comは住所などの情報が盗まれていないことを確認し、英『ガーディアン』紙にも「金銭関連情報へのアクセスはなかった」と伝えているが、現時点でその他の詳細を明らかにしていない。同社Webサイトによると、2010年以降にBooking.comで宿泊施設を予約したユーザーは68億人に及ぶ。

OpenAI、北朝鮮関連のAxiosサプライチェーン攻撃で影響を確認

SecurityWeek – April 13, 2026

OpenAIは10日、先月発生したAxiosへのサプライチェーン攻撃で影響を受けたことを認めた。複数のサイバーセキュリティ専門家により、この攻撃は北朝鮮の脅威グループUNC1069によるものと評価されている。

3月下旬、Axiosの主要メンテナーのnpmアカウントが侵害され、Windows、macOS、Linuxで動くクロスプラットフォーム対応のリモートアクセス型トロイの木馬（RAT）をダウンロード・実行させる不正なnpmパッケージが2件公開された。これらのパッケージはわずか数時間で検出・削除されたものの、多くの組織が影響を受けている可能性があるという。

その1つとされるOpenAIは10日にブログ記事を公開し、同社による調査と対策、原因分析の詳細について公表。「macOSアプリ署名プロセスで使うGitHub Actionsワークフローが有害なAxios（バージョン1.14.1）をダウンロードして実行した」と説明し、このワークフローが「ChatGPT DesktopやCodex、Codex-cli、AtlasなどのmacOSアプリの署名に使用される証明書と公証資料にアクセスできた」ことを明らかにした。

この証明書はソフトウェアが正規開発元のOpenAIから提供されていることを顧客に保証するものだが、OpenAIはペイロードの実行タイミングやその他の要因からmacOSの署名証明書が侵害されていないと判断。しかし念のために証明書を失効させ、ローテーションすることを決定したと付け加えた。

権限のない第三者が旧証明書で署名した新規ソフトウェアは、ユーザーが明示的に回避しない限りmacOSのセキュリティ保護によってデフォルトでブロックされる模様。さらに「2026年5月8日に証明書を完全に失効させると、旧証明書で署名されたアプリの新規ダウンロードと起動はmacOSのセキュリティ保護によってブロックされる」そうだ。

影響を受けたAxiosユーザーの正確な人数は不明だが、サイバーセキュリティ企業Huntressは135台のマシンで侵害の痕跡を発見。クラウドセキュリティ大手のWizも、影響を受けた環境の3％で有害なバージョンが実行されたことを確認している。

AxiosはWebアプリやNode.js環境でHTTP通信を行うために広く利用されているオープンソースのJavaScriptライブラリで、毎週1億回以上ダウンロードされ、無数の開発者プロジェクトや本番システムに依存関係として組み込まれている。