2026年4月12日、Booking.comは顧客の予約情報が漏洩したことを認めた。「権限を持たない第三者」が氏名、メールアドレス、電話番号、予約詳細にアクセスした可能性がある。
被害を受けた顧客数および攻撃の発生時期はいずれも未公表だ。同社は2018年にもフィッシングによってアラブ首長国連邦のホテル従業員の認証情報が盗まれ、4,000人超の予約データが流出する事件を経験している。この際、Dutch Data Protection Authorityへの報告がGDPRの定める72時間以内という要件を22日超過したとして、475,000ユーロの制裁金を科された。
2024年6月には旅行者を標的にしたフィッシング攻撃が900パーセント増加したと報告しており、2026年初頭にはホテルアカウントを悪用した不正な支払い要求が宿泊客に送付される事件も発生していた。
From: 
Booking.com confirms data breach, remains tight-lipped about details
【編集部解説】
今回のBooking.comによるデータ漏洩は、単なるセキュリティ事故として見過ごせない重要な問題を内包しています。
まず、元記事の内容について補足が必要な点があります。Booking.comの広報担当者がTechCrunchに対して語ったところによると、住所(physical address)については漏洩が確認されなかったとのことです。一方で、氏名・メールアドレス・電話番号・予約詳細については漏洩の可能性が認められており、同社は対応策として予約PINのリセットを実施しています。元記事には住所の漏洩も含まれると記載されていましたが、この点は後に修正が加えられています。
また、Booking.comが「金融情報(クレジットカード情報など)はアクセスされていない」と明言している点は重要です。元記事には触れられていませんでしたが、被害の深刻度を測るうえでの重要な情報です。
では、今回漏洩したとされるデータで「何ができてしまうのか」を考えてみましょう。氏名・メールアドレス・電話番号・予約詳細の組み合わせは、精巧なフィッシング攻撃に十分な情報です。攻撃者はこれらを組み合わせることで、「本物のホテルや予約サイトからの連絡」を巧みに装い、追加の支払い要求や認証情報の詐取を試みます。すでにTechCrunchの取材に応じたユーザーは、公式発表の2週間前からWhatsApp経由で予約詳細を含む不審なメッセージを受け取っていたと証言しており、実際の侵害は公式発表より前に起きていた可能性があります。
長期的な視点で見たとき、Booking.comの問題の本質は「繰り返されるインシデント」にあります。2018年のフィッシングによる流出(UAE)、2024年の旅行者へのフィッシング攻撃の900%増加、2026年初頭のホテルアカウントを悪用した詐欺——そして今回と、同社は似たパターンの攻撃に何度もさらされ続けています。これは単に「狙われやすいプラットフォームである」という問題にとどまらず、根本的なセキュリティアーキテクチャに課題があることを示唆しているかもしれません。
規制面においても、GDPRの文脈での注目は避けられません。2018年の事件ではその後、報告の遅延を理由にオランダの規制当局から475,000ユーロの制裁金が科された前歴があるため、今回も規制当局が72時間以内の報告義務を遵守したかどうかを注視するでしょう。詳細を一切開示しない同社の姿勢は、ユーザーに対するだけでなく、規制当局に対しても説明責任を問われる可能性があります。
一方で、ポジティブな側面を挙げるとすれば、金融情報が漏洩していないこと、そして対応のスピードは評価できる点もあります。問題を検知してから予約PINのリセットという具体的な対策を迅速に実施したことは、過去の対応より前進していると言えます。
ただし、インシデント後の分析レポートを公開し、他のプラットフォームへの警告や業界全体のセキュリティ底上げに貢献する姿勢を取ることが、現代のテック企業には求められています。その意味で、今回Booking.comが詳細を明かさない対応は、業界全体の信頼醸成という観点からも残念と言わざるを得ません。
【用語解説】
フィッシング攻撃(Phishing Attack)
メールやメッセージを使って、実在する企業や信頼できる人物になりすまし、パスワードや個人情報・金融情報を詐取するサイバー攻撃の手法。巧みに本物に見せかけた文面や、実際の予約情報などを活用することで、被害者が偽物だと気づきにくい点が特徴だ。
GDPR(General Data Protection Regulation)
EUが2018年に施行した個人情報保護に関する規則。企業がデータ漏洩を検知した場合、72時間以内に規制当局へ報告する義務がある。違反した場合、高額な制裁金が科される。Booking.comはオランダに本社を置くため、同規則の適用対象となっている。
予約PIN(Reservation PIN)
Booking.comが予約確認書に付与する数桁の暗証番号。宿泊施設へのチェックイン確認や、予約情報へのアクセス制御に使用される。今回の漏洩後、Booking.comは被害を受けた予約のPINを即座にリセットし、対策の一環とした。
セキュリティアーキテクチャ(Security Architecture)
システム全体のセキュリティをどのような設計・構造で守るかを定めた枠組みのこと。ネットワーク構成・認証方式・データの暗号化・アクセス権限管理などを包括的に定義する。繰り返しインシデントが発生する場合、このアーキテクチャの根本的な見直しが求められることが多い。
【参考リンク】
Booking.com(外部)
1996年創業、アムステルダム本社の世界最大級オンライン旅行予約プラットフォーム。220以上の国・地域でホテルや宿泊施設の予約サービスを提供している。
Autoriteit Persoonsgegevens(Dutch Data Protection Authority)(外部)
オランダの個人情報保護監督機関。GDPRの執行を担い、違反企業への調査・制裁金賦課を行う。Booking.comへの475,000ユーロの制裁金賦課実績を持つ。
ANP(Algemeen Nederlands Persbureau)(外部)
オランダの国営通信社。今回の漏洩事案でBooking.comへの取材を試みたが、同社からコメントを得ることはできなかったと報じている。
【参考記事】
Booking.com warns of possible reservation data exposure|The Register(外部)
2018年漏洩への制裁金が2021年に科されたことを明記。クレジットカード情報の流出やサプライチェーン経由の侵害パターンも指摘した専門レポート。
Booking.com confirms hackers accessed customers’ data|TechCrunch(外部)
住所漏洩を後に否定。2010年以降の累計68億件(6.8 billion)の予約規模を引用し、公式発表2週間前からのフィッシング被害証言も報じた記事。
New Booking.com data breach forces reservation PIN resets|BleepingComputer(外部)
広報担当セージ・ハンターのコメントを直接引用。予約PINリセット実施と全被害者への個別通知を確認した、セキュリティ専門メディアによる詳細レポート。
Hackers access Booking.com user data, company secures systems|Security Affairs(外部)
金融データへのアクセスがなかったことを確認しつつ、連絡先情報漏洩がもたらすフィッシングリスクの深刻さを専門的に解説した分析記事。
【編集部後記】
みなさんは、Booking.comをはじめとした旅行予約サービスを日常的に使っているのではないでしょうか。
今回の件で改めて気づかされるのは、私たちが「便利さ」と引き換えに、膨大な個人情報を預けているという現実です。クレジットカード情報が漏れなければ安心、では本当にないのかもしれません。みなさんはこのニュースを読んで、どんなことを感じましたか?
