関西エアポートワシントンホテル、海外予約サイト不正ログインで個人情報流出

関西エアポートワシントンホテルを運営するフラット・フィールド・オペレーションズは、海外の予約サイトにおける不正ログインにより顧客の個人情報が流出し、一部顧客にフィッシングメッセージが配信されたことを明らかにしました。

フィッシング攻撃の発覚経緯

記事によると、2026年1月4日に一部の顧客に対してフィッシングサイトへ誘導する通知が配信されたことが、顧客からの問い合わせにより判明したとのことです。同社では顧客からの報告を受けて直ちに調査を開始し、海外の予約サイトにおける不正ログインの発生を確認しました。

調査の結果、攻撃者は不正に取得したアクセス権限を悪用して顧客情報にアクセスし、フィッシング攻撃に利用していたことが明らかになりました。同社は対応策として、ログインパスワードの変更とパソコンのセキュリティチェックを実施したとのことです。

流出した個人情報の詳細

流出対象となったのは、海外の予約サイトを経由して2025年1月4日から2026年1月6日までに同ホテルの予約申し込みをした顧客の情報です。具体的には、氏名、電話番号、予約日、予約番号などが含まれており、一部顧客についてはクレジットカード情報や支払い情報、国籍が流出した可能性があると報告されています。

同社では詳細については現在も調査中としており、影響範囲の全容把握に努めているとのことです。一般的に、クレジットカード情報の流出は不正利用のリスクが高いため、特に注意が必要とされています。

当局への報告と顧客対応

フラット・フィールド・オペレーションズは、2026年1月9日に個人情報保護委員会へ報告を行ったとのことです。これは個人情報保護法に基づく適切な対応と考えられます。

対象となる顧客に対しては、事件の経緯を説明するとともに謝罪を行い、なりすましによる請求に注意するよう呼びかけているとのことです。一般的に、個人情報流出後は詐欺師が流出情報を悪用して偽の請求書を送付する事例が多く報告されており、顧客の警戒が重要とされています。

海外予約サイトのセキュリティリスク

今回の事件は、海外の予約サイトを経由した情報流出であることが特徴的です。一般的に、複数のシステムが連携する予約システムでは、セキュリティの弱い箇所が攻撃の標的となりやすいとされています。

ホテル業界では、予約管理の効率化のため第三者の予約プラットフォームを利用することが一般的ですが、今回の事例は外部システムのセキュリティ管理の重要性を改めて浮き彫りにしています。企業は自社システムだけでなく、連携する外部システムのセキュリティ状況も継続的に監視することが推奨されています。

利用者が取るべき対策

今回の事件を受けて、ホテル予約サイトを利用する際は、信頼できるサイトの選択と定期的なパスワード変更が重要です。また、予約後に不審なメールやSMSが届いた場合は、リンクをクリックせずに直接ホテルや予約サイトに確認することが基本とされています。

クレジットカード情報が流出した可能性がある顧客は、カード会社に連絡して利用明細の確認や必要に応じてカードの再発行を検討することが推奨されます。一般的に、不正利用の早期発見には定期的な明細確認が効果的とされています。