Cerby  ·  1月 27日, 2026年

    Booking.com起点の不正アクセスをこう防ぐ

    ここ数年繰り返し発生している宿泊施設関連のサイバー攻撃があります。

    サイバー攻撃者がBooking.comのホテル(パートナー)側の管理アカウントを不正に窃取し、Booking.com公式メッセージ機能経由で当該ホテルの宿泊者に詐欺メッセージを送り、宿泊者のクレジットカード情報等を盗み取る、というものです。[i]

    1.攻撃手法

    典型的な攻撃手法は以下のようなものとなります。

        攻撃者はホテル宛に「宿泊者からのリクエストがあった」等、Booking.comにアクセスさせる内容のフィッシングメールを送る。メール本文や添付のPDFに偽サイトのログインURLが含まれる。

        ホテルの管理者は偽サイトにアクセスしID、パスワード、2FA[i]の認証情報を入力。偽サイトを使わず、Infostealer[ii]をインストールするよう管理者をだますケースもあり、その場合は管理者が正規にBooking.comにログインした後のセッショントークン[iii]が攻撃者に送られる。

        攻撃者は窃取した認証情報を使ってBooking.comにログインする。

        攻撃者はBooking.com上の宿泊者情報を入手し「支払情報をアップデートしないと予約が取り消される」等の偽メッセージを送る。メッセージは偽サイトのリンクを含むが、正規のBooking.comから発信される。

        宿泊客はリンクから偽サイトにアクセスし、カード情報を入力。攻撃者はこの情報を不正利用して金銭的利益を得る。


    [i] パスワードに加えて、SMSや認証アプリなど別の要素で本人確認を行う仕組み。Booking.comの場合は、スマートフォンへのSMS・音声着信、認証アプリ。

    [ii] 情報窃取型マルウェア。端末に侵入し、ID・パスワード、Cookie、セッショントークン、ブラウザ情報などを盗み出すマルウェア。近年はユーザーの操作をほぼリアルタイムで攻撃者に通知する高度なものも多い。

    [iii] ログイン後に発行される「認証済みであることの証明書」。これが盗まれると、パスワードや2FAを入力しなくても、第三者がそのユーザーとしてアクセスできてしまう。

    2.なぜこの攻撃が防げないのか

    本攻撃は3年近く発生し続けていますが、なぜ同じ攻撃が何度も成功するのでしょうか。宿泊者側からみると、正規システムからのメッセージですので、フィッシングにひっかかってしまいがちです。

    ではホテル側での対策はどうでしょうか。ホテルがBooking.comの認証情報を窃取される経路は主に以下の2つです。

    (1)  偽サイトを使った中間者攻撃

    管理者がBooking.com管理画面の偽サイトにID、パスワード、2FA情報を入力した内容を、攻撃者が正規Booking.com管理画面に入力し、不正にログインする。

    (2)  Infostealerによる情報窃取

    管理者の端末にインストールされたInfostealerが、管理者が正規のBooking.comへログイン成功した後のセッショントークンを窃取し攻撃者に送付、攻撃者はそのトークンを使って正規のBooking.com管理画面にログインする。

     

    (2)は非常に強力な攻撃ですが、Infostealer(=マルウェア)の不審な振る舞いが発生するためEDR[i]による検知・防御が期待できます。逆に(1)は人の操作によるものですのでEDRでの検知は期待できません。フィッシング対策のトレーニングを実施し、人間系で対処することも有効ですが、管理者のセキュリティリテラシーにばらつきがあったり、巧妙なソーシャルエンジニアリングを伴ったりする場合、認証情報を偽サイトに入力してしまう可能性を否定できません。


    [i] PCやサーバーなどの端末を監視し、マルウェアの不審な挙動を検知・遮断・調査するセキュリティ製品。Infostealerの侵入や通信を検知するための重要な対策の一つ。

    3.Cerbyによる解決

    Cerbyは、Okta等のIDaaSが連携できないSaaSに対して、シングルサインオン相当のアクセス体験とMFAを提供し、さらに認証情報の管理や、共有アカウントのMFA対応も実現する、IDセキュリティSaaSです。

    Booking.com管理者がCerbyを利用する場合、管理者はCerbyを経由してBooking.comにログインしますが、その際、ID、パスワード、2FA情報の入力をCerbyに実施させることができます。管理者にこれらの情報を開示する必要はありません。

    攻撃者が偽のBookiong.comログインページに管理者を誘導しても、管理者は自分が知らない情報を入力することはできず、中間者攻撃は失敗に終わります。

     

    Booking.comCerby経由で利用する他のメリットとして以下があります。

        管理者アカウントの作成・削除をCerby上で行えるため、異動者や退職者のアカウント放置のリスクが低減される。

        管理者アカウントを共用していた場合でも、2FA情報を実際のスマートフォンではなくCerbyが受け取り、入力することで実運用が可能となる。

     

    CerbyBooking.com以外にもSAML[i]非対応のSaaSにシングルサインオンとMFAを提供するため、多くのSaaSをセキュアに利用することが可能となります。

    特にFacebookXTikTokLINEビジネスといったソーシャルメディアアカウントは、①SAML非対応のため一般的なIDaaSでは管理できず、②アカウント数が肥大化し、③社内だけでなく外部エージェントも利用、④アカウント共用せざるをえないケースがある、といった理由によりサイバー攻撃者のターゲットになりますが、Cerbyはこれらのアカウントについてもセキュアかつ効率的な利用を実現いたします。

     

    CelioCerbyの国内唯一の代理店であり、Oktaを始めとしたIDセキュリティに関する豊富な知識と数多くの企業への導入実績を持っております。Cerbyにご興味ある方はぜひお気軽にお声がけください。

     

    著者:横井 宏治 Koji Yokoi, CISSP 


    [i] Security Assertion Markup Language. SSOを実現するための標準的な認証連携方式。IDaaSは基本的にSAMLに対応したSaaSのみに安全な連携を提供する。