2026/02/18 CyberSecurityNews — Booking.com をテーマとする新たなフィッシング・キャンペーンは、この旅行ブランドへの信頼を悪用するものであり、ホテルと宿泊客の双方から金銭と機密情報を窃取している。この手口は、サービス通知メッセージから始まるものだが、最終的には決済詐欺やカード情報流出に発展する。初期の誘導メールは、ホテルの予約窓口やサポート用メールボックス宛てに送信される。続いて、宿泊に関する苦情や問い合わせを装い、スタッフにリンクをクリックさせようとする。
悪意のメール本文内のリンクは正規に見える。しかし実際には、攻撃者が管理するページへ誘導し、ログイン情報を入力させる仕組みである。Bridewell の研究者が特定したのは、2026年1月初旬以降に観測された、金銭目的で再活性化したキャンペーンであることだ。
この攻撃者は、2 種類のフィッシング・キットと 3 段階の攻撃チェーンを用いている。最初に、Booking.com パートナーを標的とするペイロード配信を行う。続いて、スタッフの認証情報を窃取する。そして最後に、盗んだ予約情報を悪用して顧客を狙う、詐欺活動を展開する。
.webp)
図で示す感染チェーンは、ホテル担当者を攻撃に引き込む、最初のメールの段階である。
多段階の詐欺チェーン
パートナーを標的とする段階では、類似ドメインやリダイレクトを使用する。事例として確認されたのは、”booking” の一部文字をキリル文字に置き換える、IDN (Internationalized Domain Name) ホモグラフ攻撃などである。また、URL には、”complaint?optoken= ” 形式のパラメータが含まれることが多い。
最終段階である、偽ポータルへの被害者の誘導では、彼らの認証情報が窃取される。その後の、実在する “Booking.com” パートナー・アカウントへの不正ログインで、それらの認証情報は悪用される。
パートナー向けフィッシング・キットは、防御回避機能も備えていると、Bridewell は指摘している。悪意のホスティング基盤がフィンガープリントした訪問者が、一定の条件を満たさない場合には、フィッシング・ページの代わりに無害な “ホテル清掃” Webサイトを表示する。
この検査に合格した被害者のみが、”bookling” というサブドメイン上にホストされた偽のパートナー・サイン・インページや、トークン化されたサインイン・パスへとリダイレクトされる。
.webp)
こうして、アカウントを乗っ取った攻撃者は、その標的を宿泊客へと移す。正確な予約情報を含む説得力の高いWhatsAppメッセージを送り、緊急性を演出する。そして Cloudflare CAPTCHA を経由させ、Booking.com 風の偽決済ページへ誘導する。
.webp)
この攻撃への対抗策として、ホテル側はパートナー・アカウントに MFA を強制適用すべきである。また、予約ポータルへのアクセスを制限すべきである。既知ブランドを装っていても、予期しない “苦情” リンクは高リスクとして扱う必要がある。
宿泊客が標的となる前に侵害を検知するためには、新規サインイン/パスワード・リセット/不審な外部リダイレクトに関するログ取得とアラート設定が欠かせない。さらに、メール・フィルタを見直し、新規の類似ドメインをブロックし、レジストラへ悪用報告を行うべきである。
顧客側としては、チャットアプリ経由のリンクを介して、支払いを行うべきではない。問題が発生した場合には、公式アプリや検証済みのホテル連絡手段で確認すべきである。
不審なページへ情報を入力してしまった場合には、パスワードを変更し、銀行へ連絡し、Booking.com アカウントへの不正アクセス有無を、ホテルに確認する必要がある。
この攻撃を成功させる要素は、ホテル側の認証情報の管理と、ブランド信頼への依存にあります。攻撃者は IDN ホモグラフを含む類似ドメインで Booking.com パートナーを偽装し、苦情リンクを通じてログイン情報を窃取しました。その後、正規アカウントへ不正ログインし、実在する予約情報を悪用して宿泊客へ決済詐欺を仕掛けます。Cloudflare CAPTCHA を挟むことで信頼性を装い、多段階で被害を拡大させます。根本は、フィッシング耐性不足と MFA 未徹底によるアカウント保護の弱さにあるのでしょう。よろしければ、Booking.com での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.