貴施設のインクルーシビティをアピールしましょう

すでに6万軒以上にのぼる「Proud Certified」認証施設様の輪に加わり、旅をLGBTQ+コミュニティにとってよりインクルーシブなものにしませんか?

「Proud Certified」の認証取得について

オンラインセキュリティに対する注意喚起:フィッシングについて

更新: 3 ヶ月 前
保存

弊社のパートナー施設様は、ゲストの氏名や住所、クレジットカード情報から電話番号に至るまで、ゲストに関連する大量のデータに弊社プラットフォーム上でアクセスできます。

そのため貴施設の管理画面アカウントは、このような貴重なデータを様々な手口で狙うネット犯罪者や詐欺師たちのターゲットとなってしまうこともあり得ます。フィッシングはそのような手口のひとつであり、本記事ではこれについてご説明します。その他にも、一般的な手口としてマルウェアソーシャル・エンジニアリングという2つの手口が挙げられます。


本記事の内容


フィッシングについて

フィッシングとは、金銭やデータを詐取するために他人になりすますことによって行われるサイバー攻撃の一種であり、組織的な情報漏洩を引き起こす最も一般的な手口です。

フィッシング攻撃の狙いは通常、以下を盗み取ることにあります。

  • ゲストの予約情報
  • 従業員およびゲストの個人情報
  • クレジットカード情報
  • 金銭(スタッフを騙したり、システムに欠陥を生じさせることによる詐取)

フィッシング攻撃の最も一般的な標的は、貴重なデータを所有する個人や組織です。パートナー施設様は、管理画面に保管されている機密性の高い貴重なデータにアクセスできることから、このような詐欺の標的にされる恐れがあります。詐欺師は、貴施設のユーザー名とパスワードをだまし取ってアカウントを乗っ取るために、弊社をかたったメールを送りつける場合があります。このようなフィッシングメールでは、Booking.comの管理画面のログインページにそっくりなウェブページに誘導させる場合がありますが、URLアドレスバーを注意深く見てみると、それが本物のページではないことに気付きます。このようなメールを見つけたらすぐに弊社にご連絡いただくことが、貴施設のビジネスを守る鍵となります。

貴施設の管理画面のアカウントで不審なアクティビティが検知された場合には、弊社プラットフォームを介して送信されるゲストへのメッセージにリンクを記載できなくなる措置をただちに取らせていただきます。こちらの措置は、特に貴施設へのフィッシング攻撃が行われた際に、サイバー犯罪者が貴施設になりすましてメッセージ機能を悪用し、ゲストに不正な支払い用リンクを送信することを防ぐために行われます。


フィッシング攻撃の特徴

おそらく不審なメールは毎日のように届いていることかと存じます。ご利用の電子メールクライアントによっては、このような不審なメッセージにフラグを立てたり、自動的に迷惑メールフォルダに振り分ける場合がありますが、中にはこれらをかいくぐるものもあります。このようなメールは、次の点に注意することで見分けることが可能です。

  • 緊急性を掻き立てる表現
    フィッシングメールでは、このままでは管理画面アカウントが停止されると不安にさせたり、財務状況に関する緊急の連絡だと言うなど、あたかもすぐに行動が必要であるかのように急かせる傾向があります。詐欺師は、フィッシングメールをできるだけもっともらしく見せかけるために、常に手口を変えてきます。
     
  • 誤字・脱字や間違い
    誤字・脱字や文法的な間違いがないか注意深く観察してください。間違いが多々見受けられる場合や、同じメールに複数の言語が混在している場合は、フィッシングメールである可能性が高いでしょう。また、典型的な例として、フィッシングメールの全文または一部が貴施設では使用しない言語で書かれているということがあります。実際の送信者は、電子メールクライアントの「差出人:」欄、あるいは山括弧(「<」と「>」)で囲まれた差出人情報をチェックすることで常に確認できます。Booking.comから送信するメールアドレスには、サブドメインに関係なく必ず最後に「@booking.com」が付いています。したがって「support@booking-103266.com」といったメールアドレスはBooking.comのものではなく、ほぼ間違いなく悪意のあるメールです。このようなメールが届いた場合はクリックしたりせずに、迷惑メールとして報告してください。

フィッシング攻撃が疑われる場合の対処方法

ご利用のコンピュータまたはノートパソコンがマルウェアに感染した疑いがある場合は、次の対処法を1つ以上実行してみてください。

  • 最初にメールアカウントのパスワードをリセットし、次にBooking.comアカウントのパスワードをリセットします。Booking.comアカウントのパスワードをリセットするには、http://admin.booking.comにアクセスし、ユーザー名を入力してから「ログインできない場合」をクリックしてください。
  • 最新版に更新済みのマルウェア対策ソフトを使って端末をスキャンします。すべてのフィッシング攻撃がパスワードの詐取を狙っているわけではなく、中にはマルウェア、スパイウェア、ランサムウェア、あるいはコンピュータウイルスなどの悪意のあるソフトウェアが「ファイル」に埋め込まれている場合もあります。怪しいリンクをクリックしたり、心当たりのないファイルをダウンロードしてしまったと思われる場合は、端末のスキャンを実行することが非常に重要です。
  • フィッシング攻撃の疑いがあったり、実際に攻撃を受けた場合は、24時間以内に弊社へご連絡ください。そうすることで、貴施設のビジネスおよびゲストを守るための措置をいち早く講じることができます。その際は、受け取った不審なメールの内容のコピーや、アカウント上での心当たりのないアクティビティなど、関連するすべての情報を必ず含めるようにしてください。不審なメールを添付ファイルとして安全に転送する方法については、こちらをクリックのうえご確認ください。

貴施設の組織をフィッシング攻撃から守るには

潜在的なセキュリティ侵害を未然に防ぎ、Booking.comをかたる詐欺師から身を守るため、以下の予防対策を講じることをお勧めします。

  • 正確な管理画面のリンクをブックマークする
    ブラウザにhttps://admin.booking.com/と直接打ち込んでください。アドレスバーの横に鍵マークが表示されているのを確認してから、そのページをブックマークします。宿泊施設を管理する際は、そのリンクを使用するようにしましょう。アカウントの不正利用防止に関する詳細については、こちらの記事をご覧ください。
     
  • メールアドレスの確認を怠らない
    差出人として表示されている名前は正しい、と思い込まないようにしましょう。「差出人」欄のメールアドレスを確認し、不審に思われる場合はそのメールを開かないでください。信頼できるBooking.comのメールアドレスには以下が含まれます。

       noreply@booking.com

       noshow@booking.com

       @property.booking.com

       noreply-payments@booking.com

       customer.care@booking.com

       @guest.booking.com

       customer.service@booking.com

       invalid-cc@booking.com

       @mailer.booking.com

       email.campaign@sg.booking.com

       @partners.booking.com

  • リンクを確認する
    リンクをクリックした場合に遷移する実際のリンク先を確認しましょう。パソコンの場合はリンクの上にマウスカーソルを合わせることで、モバイル端末の場合はリンクを長押しすることで、その実際のリンク先を確認します。リンク先のアドレスが「.booking.com」で終わるものでない場合は、クリックしないでください。
  • 不審なメールを報告する
    不審なメールを受信した場合は、必ずBooking.comのセキュリティチームに報告してください。報告後、そのメールをゴミ箱に移動させます。 不審なメールをゴミ箱に移す前に、こちらをクリックしてご報告ください。
  • 匿名でオンライン操作できるツールの使用を制限する
    管理画面を操作する際に、匿名でオンライン操作を行うことができるツール(「シークレットモード」などが挙げられますがこれに限りません)を使用することは、安全性の観点から推奨していません。

法律に関するメッセージや最新情報をすべて、いつでもまとめて確認できるようになりました。

詳しく見る

 

 

パートナー・コミュニティで意見を共有

この記事は役に立ちましたか?