ホテル・観光業に対するサイバー攻撃の脅威についてわかりやすく解説

ホテル・観光業に対するサイバー攻撃の脅威についてわかりやすく解説
2024.12.18

みなさんが日ごろ旅行に行ったり、ホテルを予約したりする際に利用する予約サイトは、スマートフォン1つでホテルやレンタカーなどの予約をまとめて行うことができる大変便利な仕組みです。その一方で、予約時には多くの個人情報やクレジットカード情報などを入力する必要があるため、サイバー犯罪者の標的になっています。
本コラムでは、そうしたホテル・観光業におけるサイバー攻撃の脅威とホテル側、利用者側ができる対策についてわかりやすく解説します。

セキュリティ無料相談

目次

予約サイトの利用状況

予約サイトは、顧客が自分のニーズに合った宿泊施設を簡単に見つけられるように設計されており、リアルタイムで空室状況の確認や予約を行うことが可能です。これにより、利用者は自宅にいながら世界中のホテルを検索し、希望する宿泊先をすぐに予約することができるようになっています。
さらに、多様な顧客の要求に応えるために、個々のニーズに応じたカスタマイズ機能を提供しています。例えば、特定の条件での検索や、過去の宿泊履歴に基づくおすすめの提示などが挙げられます。 また、予約サイトは利用者だけではなく、宿泊施設側の運営効率も大幅に向上させています。 予約までに必要な作業が自動化されることでホテルスタッフの業務負担を減らし、その時間を顧客サービスに充てることが可能になっています。

実際に予約サイトを通じて旅行予約をする人は多く、MMD研究所が行ったアンケート結果によると、旅行予約をする際に最も利用する方法は「オンライン」が76.6%となっており、「店頭」で予約すると答えた人と比べ5倍以上になっています。

旅行予約をする際に最も利用する方法は「オンライン」が76.6%であることがわかる図

図:旅行予約をする際に最も利用する方法

出典:MMD研究所 https://mmdlabo.jp/investigation/detail_2092.html

このように、デジタル化の進展に伴いオンライン上での予約が一般的になる中で、サイバー攻撃のリスクも高まっています。 実際、過去には予約システムの脆弱性を突かれ顧客情報が流出するという事例も報告されており、こうしたリスクヘの対応が課題になっています。

主要なサイバー攻撃の手法

では、ホテルや観光業を狙うサイバー攻撃にはどういった手法があるのでしょうか。ここでは代表的なものを紹介します。

フィッシング攻撃

フィッシング攻撃は巧妙に作成された偽の電子メールを利用して、ホテルの従業員や宿泊客から個人情報や機密データを不正に入手することを目的とした手口です。例えば、ホテルの公式ウェブサイトを模倣した偽のページに誘導するリンクを含むメールを送信し、そこにログイン情報を入力させることで情報を盗み取るといった手口があります。

スピアフィッシング攻撃

特定の従業員を標的にしたスピアフィッシング攻撃では、個人の名前や役職を利用して信憑性を高め、パスワードや社内システムへのアクセス情報を引き出そうとします。 ターゲットに関する情報を収集し、狙いすました攻撃を行うため通常のフィッシングよりも攻撃が成功する確率が高いという特徴があります。また、被害を受けた場合の影響も大きくなる傾向があるため、注意が必要です。

ランサムウェア攻撃

ランサムウェア攻撃では、上述のフィッシングやシステムの脆弱性などを悪用してホテルの予約システムに侵入し、重要なデータを暗号化してシステムの機能をマヒさせます。その後、復旧の見返りとして高額な身代金を要求します。この攻撃により、ホテルは予約情報の喪失、顧客対応の停止、企業イメージの毀損などの深刻な事態に陥る可能性があります。 また、ノーウェアランサムによる被害にも注意が必要です。ノーウェアランサムとは、データを暗号化せずに盗み出し、それを公開しないように身代金を要求する手口のことです。特にホテルは個人情報を多く扱うため、攻撃による影響が大きくなる可能性が高いです。

予約サイトの被害事例

2023年12月にオランダの予約サイトであるBooking.comが自社のホームページでフィッシングによる注意喚起を行っています。
内容によれば、主な手法としてはBooking.comを通じて予約したお客様に予約先施設を装って「事前決済が必要」などと嘘のメッセージを送付し、クレジットカード情報を求めたり、支払いを要求したりするメールやチャットが届く事象が発生しています。

また、何者かが旅行者を装ってパートナー施設に対してウイルス感染を誘発するメールを送付し、コンピューターを感染させて、Booking.com用のパートナー施設のID、パスワードを盗み取るケースも発生しています。これにより、盗み取ったアカウントを使ってパートナー施設の予約サイトのシステムに不正にアクセスし、パートナー施設を装って旅行者にメッセージを送るといった事象も確認されています。
パートナー施設の予約サイト経由で旅行者にメールを送られてしまうと、メール自体は正規のパートナー施設からのメールになるため、旅行者側が悪意のあるメールであると気が付くことはかなり難しく、大変危険です。

国内の宿泊施設においても複数の施設でBooking.com管理システムへの不正アクセスに関するプレスリリースが公表されており、実際に自社のアカウントからフィッシングメールが送られてしまうといった被害を受けています。

参考:Booking.com 「【重要】お客様へのお願い-フィッシングメールと宿泊施設への宿泊に関する注意喚起」

ホテルを運営する組織が取り組むべきこと

基本的なサイバーセキュリティ対策の導入

組織のサイバーセキュリティを高めるためには、基本からしっかり取り組むことが重要です。まず、利用しているシステムには常に最新のセキュリティパッチを適用し、ウイルス対策ソフトを導入することが求められます。ファイアウォールの設定を見直し、ネットワークへの不正侵入を防ぐことも必要です。さらに、パスワードは長く複雑にして、他と使い回さないよう管理を徹底しましょう。これにより、不正アクセスのリスクを大幅に削減し、安全性を確保します。

また、自社で予約サイトを構築している場合は顧客の個人情報や決済情報を直接扱うため、複数のセキュリティ製品を組み合わせながら多層的に防御を行うことが重要です。こうしたリスクに対する効果的な解決策の一つとしては、WAF(Web Application Firewall)の導入が有効です。WAFは、リアルタイムで不正なトラフィックを検出・遮断し、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃から予約サイトを保護することができます。さらに、改ざん検知サービスと組み合わせることで、予約ページへの不正アクセスや改ざんを即座に検出し、迅速な対応が可能となります。

従業員教育

従業員の教育も重要な対策になります。特にホテル業界では日々新しい攻撃手法が次々と登場しており、これに対応するためには従業員に対する継続的なトレーニングが重要です。ホテル業界は顧客の個人情報を多く扱うため、情報漏洩や不正アクセスのリスクが高く、これらを防ぐためには従業員の意識改革が必要です。例えば、フィッシングメールの見分け方や、安全なパスワード管理の方法など、具体的な対策を学ぶ機会を設けることが重要です。また、従業員がサイバー攻撃の兆候を早期に発見し、迅速に対応できるようにするためには、定期的なシミュレーションや演習を行うことも有効です。

組織全体の意識向上

サイバーセキュリティは単に技術的な問題だけでなく、組織全体の文化として根付かせる必要があります。従業員一人ひとりが自分の役割を理解し、責任を持って行動することで、組織全体のセキュリティレベルが向上します。サイバーセキュリティは、単なるIT部門の課題ではなく、全従業員が関与すべき重要なテーマであり、これを基盤として組織全体の安全性を高めていくことが重要です。

旅行者が実施すべき対策

強固なパスワードの設定と多要素認証の導入

複雑さと長さを重視した強力なパスワードの作成とパスワード管理ツールの活用が有効です。また、同一パスワードを複数サービスで利用することは不正アクセスのリスクを著しく高めるため、絶対に避けましょう。

また、多要素認証の導入も大変有効です。単一のパスワードによる認証の場合、攻撃者がその認証情報を入手すれば容易にアカウントに侵入できますが、多要素認証の場合は、複数の異なる認証要素を要求するため、攻撃の難易度を大幅に引き上げることができます。
具体的には、知識要素(パスワード)に加えて、所有要素(スマートフォン)や生体要素(指紋や顔認証)を組み合わせることで、たとえパスワードが漏洩しても、攻撃者はそのアカウントにアクセスすることができません。
そのため、予約サイトなどで多要素認証の設定が可能な場合は、必ず有効にしておきましょう。

旅行中のWi-Fi利用

旅行中は、特にホテルや観光地での公共Wi-Fiを利用する際に注意が必要です。ホテルや空港、観光地のWi-Fiは便利である一方、サイバー攻撃者の格好の標的となっています。そのため、ホテルのWi-Fiに接続する際はフロント等で正規のネットワーク名と接続情報を確認した上で接続するようにしましょう。
また、ホテルや公共Wi-Fiでの接続を安全に行うにはVPNの使用が有効です。信頼性の高いVPNサービスを利用することで、通信を暗号化し、潜在的な中間者攻撃や通信傍受のリスクを大幅に低減できます。特に、クレジットカード情報の入力や重要な予約の確認など、機密性の高い操作を行う際は、VPNの利用を心がけましょう。

SNSへの投稿

旅行中のSNS投稿にも注意が必要です。現在地や旅程をリアルタイムで公開することは、悪意のある人物に自分の行動を追跡される可能性を高めます。犯罪者はSNS上の投稿から、旅行者が不在の自宅を狙ったり、旅行者自身をターゲットにする可能性があります。
安全のためには、旅行中の投稿を控え、思い出は帰宅後に共有するようにしましょう。やむを得ず旅行中に投稿する場合は、位置情報を無効にした上で閲覧できる人を限定するなど、不特定多数の人には知られないよう注意することが大切です。

まとめ

ホテルや観光業は、個人情報やクレジットカード情報などの重要情報のやり取りが多いため、攻撃の脅威を知り、適切に対応していくことが非常に重要です。ホテル運営者はセキュリティ対策を強化することはもちろん、日々変化する脅威に従業員が対応できるよう定期的な教育を徹底することも重要です。また、旅行者も自らのリスクを理解し、安全なインターネット利用を心掛けることで、サイバー攻撃から自分自身を守ることができます。

セキュリティ無料相談