自館の名前で、客に詐欺が届いている

チェックイン中の客がスマートフォンを見せてくる。「Booking.comから〈お支払いに失敗しました〉とメッセージが来たんですが、これ本物ですか」。即答できるか。できないなら、自館の予約客はすでに詐欺の射程にいる。

Booking.comも自館も、予約後にメッセージでカード情報や追加の支払いを求めることはない。「支払いに失敗しました」「24時間以内にカードを再登録してください」は、すべて詐欺。この1点を、客に先回りして渡しておく。

手口はこうなっている。攻撃者はまず自館を狙う。偽の予約問い合わせを装ったメールで担当者のパソコンにマルウェアを仕込み、Booking.comの管理画面(エクストラネット)のIDとパスワードを盗む。次に、その施設になりすまして正規のメッセージ機能から予約客へ「カード情報を再入力してほしい」と送る。正規の経路で届くから、客は見抜けない。マイクロソフトが2024年12月以降このキャンペーンの継続を確認している(出典5)。

2026年4月にBooking.com本体が不正アクセスを公表してから、国内で注意喚起を出す施設が相次いだ。報道では100施設を超えている(出典9・10)。帝国ホテル、ホテルニューオータニ大阪、MIMARUなど、規模も業態もばらばら。攻撃者は施設の大小を選ばない。Booking.comに出ている施設アカウントを手当たり次第に狙う。

公表日施設注意喚起の趣旨
5月8日ホテルグレイスリー浅草WhatsApp等で偽サイトへ誘導する不正リンクの配信を告知
5月13日ソラーレ ホテルズ アンド リゾーツフィッシングサイトへ誘導するメッセージへの注意喚起
5月21日ホテルグランバッハ京都セレクトメッセージアプリ経由の偽リンクに注意
5月21日京都センチュリーホテル不正アクセスとフィッシングメッセージ配信のお詫び
5月22日ホテルニューオータニ大阪自館を装う不審メッセージへの注意。カード情報は求めないと明言
5月22日帝国ホテルBooking.com・agoda経由の予約客へ不審な連絡に注意
5月28日MIMARU偽サイトでカード情報を含む個人情報の被害が発生と告知

掲載日は各施設の公式お知らせに基づく(2026年6月8日時点で確認)。帝国ホテルはページ本文に日付の明記がなく、報道に基づき5月22日とした。

正規の連絡と詐欺の見分け方

手口は次々変わる。だから手口を覚えさせるのではなく、Booking.comと自館が「やらないこと」を1つ伝える。やらないことは変わらない。

Booking.comも自館も、予約後にメッセージでカード番号の再入力や追加の支払いを求めない。

この1文を客が覚えていれば、文面がどれだけ巧妙でも判断できる。以下は、スタッフ向けの見分け表。客に直接渡すものではなく、フロントで即答するための手元資料。

見るところ正規(Booking.com・自館)詐欺
カード情報 予約後に番号の再入力を求めない 「再入力しないと予約が消える」と脅す
支払い 予約時の方法のまま。別途の入金要求なし 「支払い失敗。今すぐ別リンクで」と誘導
リンク先 公式アプリ・管理画面の中で完結 外部サイト、短縮URL、正規に似せた偽アドレス
急かし方 期限を切って即決を迫らない 「24時間以内」「今すぐ」で焦らせる
連絡経路 予約確認メール、アプリ通知 SMS、WhatsApp、乗っ取った正規メッセージ

Booking.com公式は、メッセージでカード情報や支払いを求めることはないと明言している(出典1・4)。ただし正規のメッセージ機能から詐欺が届くケースがあるため、「経路が正規か」だけでは判断できない。判断の軸は上の5点。

客に届く詐欺メッセージの典型

スタッフが手口を知っていれば「それは詐欺です」と即答できる。

典型的な文面狙い
支払い失敗型 「お支払いの処理に失敗しました。24時間以内に再度ご入力ください」 焦らせて偽の決済ページに誘導
予約取消型 「カード認証ができないため、ご予約が取り消されます」 予約を失う不安につけ込む
本人確認型 「ご登録が完了していません。カード情報の再登録を」 もっともらしい理由で情報を抜く
経路すり替え型 SMSやWhatsAppへ誘導し「こちらで手続きを」 記録の残るアプリ外へ連れ出す

共通点は「焦らせる」「外部リンクへ誘う」「カード情報か支払いを求める」の3つ。日本語の精度も上がっており、文面の不自然さでは見抜けなくなっている。客に「日本語がおかしいかどうか」を判断基準として伝えるのは避ける。

連絡文例 ― そのままコピーして使える

【施設名】【電話番号】を差し込めばそのまま使える。予約から滞在までの流れに沿って、詐欺メッセージが届きやすいタイミングに合わせた。

予約直後の確認メール

予約した直後の客に「詐欺が来ても従わない」基準を渡す。最も効く場所。

予約確認メールの末尾に追記 この度はご予約ありがとうございます。
【ご注意のお願い】当館および Booking.com から、メール・SMS・メッセージ機能でクレジットカード番号の再入力や追加のお支払いをお願いすることはありません。「お支払いに失敗しました」「24時間以内に手続きしないと予約が取り消されます」など、支払いを急かす連絡や外部サイトへのリンクが届いた場合は、操作せず 【施設名】【電話番号】)まで直接ご確認ください。

チェックイン前リマインド(数日前〜前日)

滞在直前は詐欺が最も届きやすい。出発前にもう一度、短く。

事前案内メール・SMSに ご宿泊が近づいてまいりました。安心してお越しいただくためのご確認です。お支払いは【予約時のお支払い方法/ご来館時/予約サイト上】で完了します。これとは別に、カード情報の再入力や追加のお支払いを求めるメッセージが届いても、応じないでください。ご不明な点は 【施設名】【電話番号】)へお電話ください。

公式サイトのお知らせ(常設)

「この連絡は本物か」と施設名で検索した客の受け皿。常設して、いつ見ても確認できる状態にする。

お知らせ/FAQページの見出し+本文 【重要】Booking.com・当館を装ったフィッシング詐欺にご注意ください
当館では、ご予約後にメール・SMS・メッセージ機能でクレジットカード情報や追加のお支払いを求めることは一切ありません。「お支払いに失敗しました」「ご予約が取り消されます」など、お支払いを急かす連絡や外部サイトへのリンクにはご注意ください。不審な連絡を受け取られた場合は、リンクを開かず 【施設名】【電話番号】)までご連絡ください。

フロント口頭・客室掲示

チェックイン時に直接。聞かれたときのスタッフの答えも、この文で統一する。

フロント・客室の掲示カード お客様へ:当館・Booking.com から、カード情報やお支払いを、メッセージや SMS でお願いすることはありません。お心当たりのない請求やリンクが届いた場合は、開かずにフロントへお声がけください。

4場面を一度に整える必要はない。効果が高い順に、公式サイトの常設 → 予約確認メールへの一文 → チェックイン前リマインド → フロント掲示。文面はどれも同じ趣旨で揃えてある。客が何度見ても同じ基準を受け取れるようにした。

「本物ですか」と聞かれたら / 被害が出たら

フロントの即答を揃える

スタッフごとに答えがぶれると、客はかえって不安になる。全スタッフでこの順番を共有する。

  1. 断定する。「カード情報やお支払いを求める連絡は、当館もBooking.comも送っていません」と先に言い切る。
  2. 止める。「リンクは開かないでください」。
  3. 確認して返す。「こちらで予約状況を確認します」と、施設側で正規の予約を確認して安心材料を返す。

「大丈夫です」とあいまいに流す、「Booking.comに聞いてください」と突き放す、客の画面のリンクをスタッフが代わりに開いて確認する(感染の恐れがある)。この3つは避ける。

すでにカード情報を入力してしまった客

入力済みと分かったら時間との勝負。せかさず、落ち着いて手順を示す。

  1. カード会社へすぐ連絡。利用停止と再発行を依頼する。カード裏面の電話番号から。
  2. 正規の予約を確認。Booking.com公式アプリか管理画面で予約と請求を確認する。身に覚えのない請求はカード会社に異議を申し立てる。
  3. 公的窓口へ相談。警察相談は #9110、消費生活相談は消費者ホットライン 188
  4. Booking.comへ報告。自館アカウントの不正利用が疑われる場合、セキュリティ窓口へ届け出る。

客から相談を受けたら、いつ・どんな連絡が届いたか(スクリーンショットがあれば理想)を控えておく。自館アカウントの乗っ取り確認やBooking.comへの報告に使える。相談先の電話番号(カード会社・#9110・188)をフロントの手元に1枚置いておくと、その場で渡せる。

管理画面を乗っ取らせない

客への詐欺は、もとをたどれば自館の管理画面の乗っ取りから始まる。ここを守れば、自館の名前が詐欺に使われる事態を入り口で止められる。

二段階認証を有効にする。パスワードが漏れても、もう1つの認証がなければログインを止められる。Booking.comはパートナー向けに二段階認証を提供している。複数スタッフで共有しているアカウントこそ、必ず設定する。

偽の予約問い合わせに乗らない。「ゲストと連絡が取れない」「24時間以内に対応しないとアカウント停止」と急かすメールは、感染への入り口。確認画面でキーボード操作やコマンドの貼り付けを促す指示(偽のCAPTCHAを装う手口)には絶対に従わない。

パスワードの使い回しをやめて、ログイン履歴を見る。他サービスと同じパスワードを避ける。ログイン履歴を週に一度は確認して、身に覚えのないアクセスがないか見る。送信済みメッセージに、自分が送っていないものが混じっていないかも点検する。

使わないアカウントを残さない。退職者や異動者のログインが生きていると、気づかないうちに侵入口になる。複数スタッフで1つのIDを共有せず、人ごとに分けておく。

乗っ取りに気づいたら、すぐ止める。不審なログインや、客への身に覚えのないメッセージを見つけたら、直ちにパスワードを変更してBooking.comのセキュリティ窓口へ報告する。感染が疑われる端末はネットワークから切り離す。

Booking.comはパートナー向けにアカウント保護や不正の報告窓口を用意している(出典1〜3)。設定手順や報告先はそちらが正本。

着手の順番

上から順に。全部を一度にやる必要はない。

やること目安担当(目安)
エクストラネットの二段階認証を有効にするすぐOTA担当
公式サイトに注意喚起を1本常設するすぐweb担当・支配人
予約確認メールのテンプレートに一文追加今週中予約・フロント
チェックイン前リマインドにも注意喚起を入れる今週中予約・フロント
パスワード更新、使い回しをやめる今週中OTA担当
フロント掲示・客室カードを用意、即答を全員共有今月中フロントマネジャー
ログイン履歴・送信済みメッセージの定期確認を運用に入れる今月中OTA担当
被害相談窓口(カード会社・#9110・188)の一覧をフロントに置く今月中フロントマネジャー
英語の予約客向けに、英語版の一文を併記する今月中web担当・予約

大切なのは、誰が対応しても同じ案内になること。担当を決めておけば、問い合わせが来ても現場で迷わない。右列は目安。自館の体制に合わせて差し替えてほしい。

OTAの運用そのものに手が回らない場合は、運用代行という選択肢もある。判断材料はOTA運営代行のメリットと選び方で整理している。

よくある質問

予約客から「Booking.comからカード情報を求めるメッセージが来た」と言われたら
詐欺です。Booking.comも宿泊施設も、予約後にメッセージでクレジットカード番号の再入力や追加の支払いを求めません。「支払いに失敗しました」「24時間以内に手続きしないと予約が取り消されます」と急かす連絡や外部サイトへのリンクは操作しないよう案内し、フロントで予約状況を直接確認します。
注意喚起はいつ出せばいいか
予約直後の確認メール、チェックイン前のリマインド、公式サイトの常設お知らせ、フロントでの口頭と客室掲示。滞在が近づくほど詐欺メッセージは届きやすいため、予約直後と直前の2回が要です。
客がカード情報を入力してしまったら
すぐカード会社に連絡してカードの利用停止と再発行を依頼します。Booking.comのアプリか管理画面で正規の予約を確認し、不審な請求はカード会社に異議を申し立てます。警察相談は#9110、消費者ホットラインは188です。
なぜ自館の名前で詐欺が届くのか
攻撃者が施設の管理画面のIDとパスワードを盗み、その施設になりすまして正規のメッセージ機能から予約客に連絡するためです。偽の予約問い合わせメールで施設のパソコンにマルウェアを仕込み、認証情報を抜く手口がマイクロソフトに確認されています。
管理画面の乗っ取りを防ぐには
エクストラネットの二段階認証を有効にし、パスワードの使い回しをやめます。身に覚えのない添付やリンクを開かない、確認画面でコマンドの貼り付けを促す指示には従わない、ログイン履歴を定期確認する。乗っ取りに気づいたら直ちにパスワードを変更し、Booking.comのセキュリティ窓口へ報告します。
注意喚起すると客を不安にさせないか
逆です。先に正しい基準を渡しておくほど、客は詐欺を見分けられます。事実だけ伝えて確認先の電話番号を示せば、不安をあおらず安心材料になります。被害が出てから動くより、予約時に一言添えるほうが信頼につながります。
外国語の予約客にも伝えるべきか
伝えてください。なりすまし詐欺は海外の予約客にも同じ手口で届きます。「施設もBooking.comもメッセージでカード情報や支払いを求めない」「不審な連絡は施設へ直接確認を」の2点を英語で併記すれば足ります。