世界最大級の旅行予約サイト「ブッキング・ドットコム」が提携先の宿泊施設に提供しているシステムに何者かが不正アクセスし、宿泊施設を装ったメールを予約客に送り、クレジットカード情報を狙う手口の被害が昨年6月以降、国内で相次いでいることが13日、分かった。少なくとも21都道府県の宿泊施設118カ所が被害を公表。ブッキング・ドットコム運営会社（オランダ）の日本法人によると、同様の被害は世界規模で発生している。

観光庁は日本法人に被害の全体状況の調査を指示。新型コロナウイルスによる渡航制限が世界的に緩和され、被害が広がったとみられる。

日本法人などによると、確認された不正アクセスの手口は、まず宿泊施設に何者かが旅行者を装い偽のメールを送信する。宿泊施設側がメールに記載のリンクからダウンロードしたファイルを開くと、パソコンがマルウエア（悪意のあるソフト）に感染。宿泊施設がブッキング・ドットコムのシステムを利用するのに必要なIDやパスワードが盗まれる。

何者かはこれを悪用してシステムに侵入し、宿泊施設を装って予約客に「事前決済しなければ予約がキャンセルになる」などとうそのメールを送信。偽のサイトに誘導してカード情報を入力させる。「フィッシング」と呼ばれる手口だ。

匿名でサイバーセキュリティー情報を発信し、今回の被害情報も収集しているpiyokango（ピヨカンゴ）氏の協力を得て調べた結果、今年3月26日時点で少なくとも118カ所の宿泊施設が、予約客にフィッシングのメールが送信された被害を公表。一部の宿泊施設はパソコンがマルウエアに感染したことや、客がカード情報を入力して金銭的被害に遭ったことも明らかにした。

ブッキング・ドットコムの日本法人は被害の規模や金額を明らかにしていない。同様の被害は2022年に欧州の一部で確認されて以降、米国、アジア、オセアニアの一部に拡大したという。

ブッキング・ドットコムは「ご心配をおかけしている。予約客にメールやチャット機能でカード情報の入力や支払いを求めることはない」としている。（共同）