自館の名前で、客に詐欺が届いている
チェックイン中の客がスマートフォンを見せてくる。「Booking.comから〈お支払いに失敗しました〉とメッセージが来たんですが、これ本物ですか」。即答できるか。できないなら、自館の予約客はすでに詐欺の射程にいる。
Booking.comも自館も、予約後にメッセージでカード情報や追加の支払いを求めることはない。「支払いに失敗しました」「24時間以内にカードを再登録してください」は、すべて詐欺。この1点を、客に先回りして渡しておく。
手口はこうなっている。攻撃者はまず自館を狙う。偽の予約問い合わせを装ったメールで担当者のパソコンにマルウェアを仕込み、Booking.comの管理画面(エクストラネット)のIDとパスワードを盗む。次に、その施設になりすまして正規のメッセージ機能から予約客へ「カード情報を再入力してほしい」と送る。正規の経路で届くから、客は見抜けない。マイクロソフトが2024年12月以降このキャンペーンの継続を確認している(出典5)。
2026年4月にBooking.com本体が不正アクセスを公表してから、国内で注意喚起を出す施設が相次いだ。報道では100施設を超えている(出典9・10)。帝国ホテル、ホテルニューオータニ大阪、MIMARUなど、規模も業態もばらばら。攻撃者は施設の大小を選ばない。Booking.comに出ている施設アカウントを手当たり次第に狙う。
| 公表日 | 施設 | 注意喚起の趣旨 |
|---|---|---|
| 5月8日 | ホテルグレイスリー浅草 | WhatsApp等で偽サイトへ誘導する不正リンクの配信を告知 |
| 5月13日 | ソラーレ ホテルズ アンド リゾーツ | フィッシングサイトへ誘導するメッセージへの注意喚起 |
| 5月21日 | ホテルグランバッハ京都セレクト | メッセージアプリ経由の偽リンクに注意 |
| 5月21日 | 京都センチュリーホテル | 不正アクセスとフィッシングメッセージ配信のお詫び |
| 5月22日 | ホテルニューオータニ大阪 | 自館を装う不審メッセージへの注意。カード情報は求めないと明言 |
| 5月22日 | 帝国ホテル | Booking.com・agoda経由の予約客へ不審な連絡に注意 |
| 5月28日 | MIMARU | 偽サイトでカード情報を含む個人情報の被害が発生と告知 |
掲載日は各施設の公式お知らせに基づく(2026年6月8日時点で確認)。帝国ホテルはページ本文に日付の明記がなく、報道に基づき5月22日とした。
正規の連絡と詐欺の見分け方
手口は次々変わる。だから手口を覚えさせるのではなく、Booking.comと自館が「やらないこと」を1つ伝える。やらないことは変わらない。
Booking.comも自館も、予約後にメッセージでカード番号の再入力や追加の支払いを求めない。
この1文を客が覚えていれば、文面がどれだけ巧妙でも判断できる。以下は、スタッフ向けの見分け表。客に直接渡すものではなく、フロントで即答するための手元資料。
| 見るところ | 正規(Booking.com・自館) | 詐欺 |
|---|---|---|
| カード情報 | 予約後に番号の再入力を求めない | 「再入力しないと予約が消える」と脅す |
| 支払い | 予約時の方法のまま。別途の入金要求なし | 「支払い失敗。今すぐ別リンクで」と誘導 |
| リンク先 | 公式アプリ・管理画面の中で完結 | 外部サイト、短縮URL、正規に似せた偽アドレス |
| 急かし方 | 期限を切って即決を迫らない | 「24時間以内」「今すぐ」で焦らせる |
| 連絡経路 | 予約確認メール、アプリ通知 | SMS、WhatsApp、乗っ取った正規メッセージ |
Booking.com公式は、メッセージでカード情報や支払いを求めることはないと明言している(出典1・4)。ただし正規のメッセージ機能から詐欺が届くケースがあるため、「経路が正規か」だけでは判断できない。判断の軸は上の5点。
客に届く詐欺メッセージの典型
スタッフが手口を知っていれば「それは詐欺です」と即答できる。
| 型 | 典型的な文面 | 狙い |
|---|---|---|
| 支払い失敗型 | 「お支払いの処理に失敗しました。24時間以内に再度ご入力ください」 | 焦らせて偽の決済ページに誘導 |
| 予約取消型 | 「カード認証ができないため、ご予約が取り消されます」 | 予約を失う不安につけ込む |
| 本人確認型 | 「ご登録が完了していません。カード情報の再登録を」 | もっともらしい理由で情報を抜く |
| 経路すり替え型 | SMSやWhatsAppへ誘導し「こちらで手続きを」 | 記録の残るアプリ外へ連れ出す |
共通点は「焦らせる」「外部リンクへ誘う」「カード情報か支払いを求める」の3つ。日本語の精度も上がっており、文面の不自然さでは見抜けなくなっている。客に「日本語がおかしいかどうか」を判断基準として伝えるのは避ける。
連絡文例 ― そのままコピーして使える
【施設名】【電話番号】を差し込めばそのまま使える。予約から滞在までの流れに沿って、詐欺メッセージが届きやすいタイミングに合わせた。
予約直後の確認メール
予約した直後の客に「詐欺が来ても従わない」基準を渡す。最も効く場所。
【ご注意のお願い】当館および Booking.com から、メール・SMS・メッセージ機能でクレジットカード番号の再入力や追加のお支払いをお願いすることはありません。「お支払いに失敗しました」「24時間以内に手続きしないと予約が取り消されます」など、支払いを急かす連絡や外部サイトへのリンクが届いた場合は、操作せず 【施設名】(【電話番号】)まで直接ご確認ください。
チェックイン前リマインド(数日前〜前日)
滞在直前は詐欺が最も届きやすい。出発前にもう一度、短く。
公式サイトのお知らせ(常設)
「この連絡は本物か」と施設名で検索した客の受け皿。常設して、いつ見ても確認できる状態にする。
当館では、ご予約後にメール・SMS・メッセージ機能でクレジットカード情報や追加のお支払いを求めることは一切ありません。「お支払いに失敗しました」「ご予約が取り消されます」など、お支払いを急かす連絡や外部サイトへのリンクにはご注意ください。不審な連絡を受け取られた場合は、リンクを開かず 【施設名】(【電話番号】)までご連絡ください。
フロント口頭・客室掲示
チェックイン時に直接。聞かれたときのスタッフの答えも、この文で統一する。
4場面を一度に整える必要はない。効果が高い順に、公式サイトの常設 → 予約確認メールへの一文 → チェックイン前リマインド → フロント掲示。文面はどれも同じ趣旨で揃えてある。客が何度見ても同じ基準を受け取れるようにした。
「本物ですか」と聞かれたら / 被害が出たら
フロントの即答を揃える
スタッフごとに答えがぶれると、客はかえって不安になる。全スタッフでこの順番を共有する。
- 断定する。「カード情報やお支払いを求める連絡は、当館もBooking.comも送っていません」と先に言い切る。
- 止める。「リンクは開かないでください」。
- 確認して返す。「こちらで予約状況を確認します」と、施設側で正規の予約を確認して安心材料を返す。
「大丈夫です」とあいまいに流す、「Booking.comに聞いてください」と突き放す、客の画面のリンクをスタッフが代わりに開いて確認する(感染の恐れがある)。この3つは避ける。
すでにカード情報を入力してしまった客
入力済みと分かったら時間との勝負。せかさず、落ち着いて手順を示す。
- カード会社へすぐ連絡。利用停止と再発行を依頼する。カード裏面の電話番号から。
- 正規の予約を確認。Booking.com公式アプリか管理画面で予約と請求を確認する。身に覚えのない請求はカード会社に異議を申し立てる。
- 公的窓口へ相談。警察相談は #9110、消費生活相談は消費者ホットライン 188。
- Booking.comへ報告。自館アカウントの不正利用が疑われる場合、セキュリティ窓口へ届け出る。
客から相談を受けたら、いつ・どんな連絡が届いたか(スクリーンショットがあれば理想)を控えておく。自館アカウントの乗っ取り確認やBooking.comへの報告に使える。相談先の電話番号(カード会社・#9110・188)をフロントの手元に1枚置いておくと、その場で渡せる。
管理画面を乗っ取らせない
客への詐欺は、もとをたどれば自館の管理画面の乗っ取りから始まる。ここを守れば、自館の名前が詐欺に使われる事態を入り口で止められる。
二段階認証を有効にする。パスワードが漏れても、もう1つの認証がなければログインを止められる。Booking.comはパートナー向けに二段階認証を提供している。複数スタッフで共有しているアカウントこそ、必ず設定する。
偽の予約問い合わせに乗らない。「ゲストと連絡が取れない」「24時間以内に対応しないとアカウント停止」と急かすメールは、感染への入り口。確認画面でキーボード操作やコマンドの貼り付けを促す指示(偽のCAPTCHAを装う手口)には絶対に従わない。
パスワードの使い回しをやめて、ログイン履歴を見る。他サービスと同じパスワードを避ける。ログイン履歴を週に一度は確認して、身に覚えのないアクセスがないか見る。送信済みメッセージに、自分が送っていないものが混じっていないかも点検する。
使わないアカウントを残さない。退職者や異動者のログインが生きていると、気づかないうちに侵入口になる。複数スタッフで1つのIDを共有せず、人ごとに分けておく。
乗っ取りに気づいたら、すぐ止める。不審なログインや、客への身に覚えのないメッセージを見つけたら、直ちにパスワードを変更してBooking.comのセキュリティ窓口へ報告する。感染が疑われる端末はネットワークから切り離す。
Booking.comはパートナー向けにアカウント保護や不正の報告窓口を用意している(出典1〜3)。設定手順や報告先はそちらが正本。
着手の順番
上から順に。全部を一度にやる必要はない。
| やること | 目安 | 担当(目安) |
|---|---|---|
| エクストラネットの二段階認証を有効にする | すぐ | OTA担当 |
| 公式サイトに注意喚起を1本常設する | すぐ | web担当・支配人 |
| 予約確認メールのテンプレートに一文追加 | 今週中 | 予約・フロント |
| チェックイン前リマインドにも注意喚起を入れる | 今週中 | 予約・フロント |
| パスワード更新、使い回しをやめる | 今週中 | OTA担当 |
| フロント掲示・客室カードを用意、即答を全員共有 | 今月中 | フロントマネジャー |
| ログイン履歴・送信済みメッセージの定期確認を運用に入れる | 今月中 | OTA担当 |
| 被害相談窓口(カード会社・#9110・188)の一覧をフロントに置く | 今月中 | フロントマネジャー |
| 英語の予約客向けに、英語版の一文を併記する | 今月中 | web担当・予約 |
大切なのは、誰が対応しても同じ案内になること。担当を決めておけば、問い合わせが来ても現場で迷わない。右列は目安。自館の体制に合わせて差し替えてほしい。
OTAの運用そのものに手が回らない場合は、運用代行という選択肢もある。判断材料はOTA運営代行のメリットと選び方で整理している。
