オンラインセキュリティに対する注意喚起:フィッシングについて
弊社のパートナー施設様は、ゲストの氏名や住所、クレジットカード情報から電話番号に至るまで、ゲストに関連する大量のデータに弊社プラットフォーム上でアクセスできます。
そのため貴施設の管理画面アカウントは、このような貴重なデータを様々な手口で狙うネット犯罪者や詐欺師たちのターゲットとなってしまうこともあり得ます。フィッシングはそのような手口のひとつであり、本記事ではこれについてご説明します。その他にも、一般的な手口としてマルウェアとソーシャル・エンジニアリングという2つの手口が挙げられます。
本記事の内容
フィッシングについて
フィッシングとは、金銭やデータを詐取するために他人になりすますことによって行われるサイバー攻撃の一種であり、組織的な情報漏洩を引き起こす最も一般的な手口です。
フィッシング攻撃の狙いは通常、以下を盗み取ることにあります。
- ゲストの予約情報
- 従業員およびゲストの個人情報
- クレジットカード情報
- 金銭(スタッフを騙したり、システムに欠陥を生じさせることによる詐取)
フィッシング攻撃の最も一般的な標的は、貴重なデータを所有する個人や組織です。パートナー施設様は、管理画面に保管されている機密性の高い貴重なデータにアクセスできることから、このような詐欺の標的にされる恐れがあります。詐欺師は、貴施設のユーザー名とパスワードをだまし取ってアカウントを乗っ取るために、弊社をかたったメールを送りつける場合があります。このようなフィッシングメールでは、Booking.comの管理画面のログインページにそっくりなウェブページに誘導させる場合がありますが、URLアドレスバーを注意深く見てみると、それが本物のページではないことに気付きます。このようなメールを見つけたらすぐに弊社にご連絡いただくことが、貴施設のビジネスを守る鍵となります。
貴施設の管理画面のアカウントで不審なアクティビティが検知された場合には、弊社プラットフォームを介して送信されるゲストへのメッセージにリンクを記載できなくなる措置をただちに取らせていただきます。こちらの措置は、特に貴施設へのフィッシング攻撃が行われた際に、サイバー犯罪者が貴施設になりすましてメッセージ機能を悪用し、ゲストに不正な支払い用リンクを送信することを防ぐために行われます。
フィッシング攻撃の特徴
おそらく不審なメールは毎日のように届いていることかと存じます。ご利用の電子メールクライアントによっては、このような不審なメッセージにフラグを立てたり、自動的に迷惑メールフォルダに振り分ける場合がありますが、中にはこれらをかいくぐるものもあります。このようなメールは、次の点に注意することで見分けることが可能です。
- 緊急性を掻き立てる表現
フィッシングメールでは、このままでは管理画面アカウントが停止されると不安にさせたり、財務状況に関する緊急の連絡だと言うなど、あたかもすぐに行動が必要であるかのように急かせる傾向があります。詐欺師は、フィッシングメールをできるだけもっともらしく見せかけるために、常に手口を変えてきます。
- 誤字・脱字や間違い
誤字・脱字や文法的な間違いがないか注意深く観察してください。間違いが多々見受けられる場合や、同じメールに複数の言語が混在している場合は、フィッシングメールである可能性が高いでしょう。また、典型的な例として、フィッシングメールの全文または一部が貴施設では使用しない言語で書かれているということがあります。実際の送信者は、電子メールクライアントの「差出人:」欄、あるいは山括弧(「<」と「>」)で囲まれた差出人情報をチェックすることで常に確認できます。Booking.comから送信するメールアドレスには、サブドメインに関係なく必ず最後に「@booking.com」が付いています。したがって「support@booking-103266.com」といったメールアドレスはBooking.comのものではなく、ほぼ間違いなく悪意のあるメールです。このようなメールが届いた場合はクリックしたりせずに、迷惑メールとして報告してください。
フィッシング攻撃が疑われる場合の対処方法
ご利用のコンピュータまたはノートパソコンがマルウェアに感染した疑いがある場合は、次の対処法を1つ以上実行してみてください。
- 最初にメールアカウントのパスワードをリセットし、次にBooking.comアカウントのパスワードをリセットします。Booking.comアカウントのパスワードをリセットするには、http://admin.booking.comにアクセスし、ユーザー名を入力してから「ログインできない場合」をクリックしてください。
- 最新版に更新済みのマルウェア対策ソフトを使って端末をスキャンします。すべてのフィッシング攻撃がパスワードの詐取を狙っているわけではなく、中にはマルウェア、スパイウェア、ランサムウェア、あるいはコンピュータウイルスなどの悪意のあるソフトウェアが「ファイル」に埋め込まれている場合もあります。怪しいリンクをクリックしたり、心当たりのないファイルをダウンロードしてしまったと思われる場合は、端末のスキャンを実行することが非常に重要です。
- フィッシング攻撃の疑いがあったり、実際に攻撃を受けた場合は、24時間以内に弊社へご連絡ください。そうすることで、貴施設のビジネスおよびゲストを守るための措置をいち早く講じることができます。その際は、受け取った不審なメールの内容のコピーや、アカウント上での心当たりのないアクティビティなど、関連するすべての情報を必ず含めるようにしてください。不審なメールを添付ファイルとして安全に転送する方法については、こちらをクリックのうえご確認ください。
貴施設の組織をフィッシング攻撃から守るには
潜在的なセキュリティ侵害を未然に防ぎ、Booking.comをかたる詐欺師から身を守るため、以下の予防対策を講じることをお勧めします。
- 正確な管理画面のリンクをブックマークする
ブラウザにhttps://admin.booking.com/と直接打ち込んでください。アドレスバーの横に鍵マークが表示されているのを確認してから、そのページをブックマークします。宿泊施設を管理する際は、そのリンクを使用するようにしましょう。アカウントの不正利用防止に関する詳細については、こちらの記事をご覧ください。
- メールアドレスの確認を怠らない
差出人として表示されている名前は正しい、と思い込まないようにしましょう。「差出人」欄のメールアドレスを確認し、不審に思われる場合はそのメールを開かないでください。信頼できるBooking.comのメールアドレスには以下が含まれます。
@property.booking.com
@guest.booking.com
@mailer.booking.com
@partners.booking.com
- リンクを確認する
リンクをクリックした場合に遷移する実際のリンク先を確認しましょう。パソコンの場合はリンクの上にマウスカーソルを合わせることで、モバイル端末の場合はリンクを長押しすることで、その実際のリンク先を確認します。リンク先のアドレスが「.booking.com」で終わるものでない場合は、クリックしないでください。 - 不審なメールを報告する
不審なメールを受信した場合は、必ずBooking.comのセキュリティチームに報告してください。報告後、そのメールをゴミ箱に移動させます。 不審なメールをゴミ箱に移す前に、こちらをクリックしてご報告ください。 - 匿名でオンライン操作できるツールの使用を制限する
管理画面を操作する際に、匿名でオンライン操作を行うことができるツール(「シークレットモード」などが挙げられますがこれに限りません)を使用することは、安全性の観点から推奨していません。
法律に関するメッセージや最新情報をすべて、いつでもまとめて確認できるようになりました。
-
法律&セキュリティ関連
-
- オンライン・セキュリティとソーシャル・エンジニアリングについて
- オンラインセキュリティに対する注意喚起:フィッシングについて
- アカウントの不正利用を防ぐために
- アカウントのセキュリティ確保について
- 監視装置に関する要件と規制について
- デジタルイベントのセキュリティ基準
- 客室の鍵へのアクセスに関するガイドライン
- 宿泊施設を清潔かつ衛生的な状態に保つために
- 【バケーションレンタルタイプの宿泊施設様対象】安全装置や救急用品の設置、および避難計画の策定について
- 【バケーションレンタルタイプの宿泊施設様対象】貴施設を守るためのセキュリティ機器について
- パートナー賠償責任保険
- ウクライナ難民に対する人身取引の可能性の特定と対応について
- セキュリティに関する問題を報告する
- オンラインセキュリティに対する注意喚起:マルウェアについて
- メッセージ機能のセキュリティ設定について
-
- アカウント認証フォーム(Know Your Partner)を記入しなければならない理由について
- 掲載を中止したり、Booking.comとの契約を解約するには、どうすれば良いですか?
- 宿泊施設の所有者が変わる場合には、どうすれば良いですか?
- 弊社の動物福祉基準について
- 一般取引条件(GDT)はどこで確認できますか?
- 欧州連合(EU)消費者関連法への準拠について
- オーナータイプ(プロフェッショナル / プライベート)の自己申告(必須)について
- 等価性(パリティ)はどのような仕組みになっていますか?
- よりシンプルなポリシーで透明性と明瞭さを提供
- サプライヤー行動規範
- 不可抗力事象について
- 緊急事態による一時閉鎖に伴う対応について
- 短期貸出について
- 短期貸出:よくある質問
- DAC7:よくある質問
- DAC7に関する情報
- 予約リクエストを承認または拒否する際の差別禁止ガイドライン
- アジア太平洋地域の短期貸出に関する法律や規制
- デジタルサービス法(DSA)について
- 宿泊施設パートナー契約及び一般取引条件
- 宿泊施設パートナー契約書上の契約者名が誤っている場合
- 関係者から連絡があった場合