「旅とアロマ」にお越しくださりありがとうございます。
2026年4月12日(日)、オンライン旅行予約プラットフォームであるBooking.comより『Booking.comからの重要なセキュリティアップデート』というメールが来ました。本物?フィッシングメール?いろいろ調べたことをまとめてみました。
※その後を追記しました。
スポンサーリンク
メールの内容
内容は、世界最大級のオンライン旅行予約プラットフォームであるBooking.comが、第三者による不正アクセスを確認して、対策を講じるというものでした。その対策とは、既存・過去の予約に紐づくPINを強制リセットし、影響を受けたユーザーへの個別通知を行うというもの。私の予約もその対象となっているようです。
これは本物?
送り元は booking.com 、公式ドメイン(noreply@booking.com)からとなっています。
しかし、アプリには何のメッセージもなく、どんな細工をされているか分かりません。
メールには、私の名前が書かれ、アイコンもありました(現在はアイコンの写真を変えています)。どうやら本物のようですが、それでも怪しい・・・。
公式アプリのほうはメッセージはありません。
ただ、メールの内容は、予約番号とPIN番号が書かれているだけで、別のサイトに誘導するようなリンクはありませんでした。
Yahoo知恵袋
Yahoo知恵袋を見てみました。
私は2日にわたって3件の予約に関するもので、同じく、過去の予約であったり、すでにキャンセルした予約でした。
また、別の方は意味不明の引き落としがあったということですが、(今のところ)引き落としの被害はありません。3件ともデビットカードでの引き落とし(1件は通常に完了)なので、引き落としがあるとすぐに連絡(メール)が来るのですが、今のところ大丈夫そうです。
ということで、今回のメールは本物で、Booking.comが、第三者による不正アクセスを確認したため、既存・過去の予約に紐づくPINを強制リセットしていることで対策を講じているようです。
PIN
ところで、PINとは、Booking.com の予約を管理する際に必要な「暗証番号」です。
予約が見つからない時に利用するようで、普通に予約を見るときには使いません。また、管理画面で削除した予約に関しては、送られてきた予約番号やPINを入れても表示されませんでした。
流失情報
流出した情報は以下です。
要注意!
・氏名(フルネーム)
・メールアドレス
・郵便住所
・電話番号
・宿泊施設とのやり取りメッセージ
上記の組み合わせは「なりすましフィッシング」に繋がる情報のようです。Booking.com からのメールでは、決済情報やパスワードの漏洩について(現時点では)言及されていませんが、ログインにはGoogleの認証アプリを使った2段階認証にしました。
誰かが私の旅程や、施設とのやり取りを知っているという危険な環境下では、その内容を知ったうえでのなりすましメールで攻撃してくる恐れもありますものね。
混乱の原因?
今回は、きちんと認証されたメールであったにもかかわらず、怪しいメールと思われた原因の一つとして「アプリとの未連携」が考えられます。
なので、私だけでなく、警告メールを受け取った利用者が、メールの正当性を疑うケースが続出したようです。通常、何かあった時の通知は、複数のチャンネルで伝えられますものね。こういった点にBooking.comの脆弱性があるのでしょうか。
その後どうなったか?
その後、予約しているホテルを装った怪しげなメールは来ていません。
また、予定通り、Booking.comで引き落としがありました。そのことに関するメール(アプリ内へはメッセージ)が来ました。
デビットカード側でも、正規の引き落とし以外の不正な利用はありません。とりあえず、安心ですが、宿泊が完了するまで引き続き注視していこうと思います。
無事に何事もなく宿泊が完了しました。ホテル側とのやり取りはきちんとでき、追加の支払い請求、不審なメールもありませんでした。とりあえず、安心しました。
スポンサーリンク
さいごに
Booking.comは、「不審なメールやSMSのリンクはクリックしないよう」呼びかけており、「同社が銀行振込や機密情報を求めることは絶対にない」と明言しています。もちろん、怪しげなメールに貼られているリンクは決してクリックしませんが、気持ち悪いですね。
いつかどこかで、どなたかのお役に立ちますと幸いです。
最後までご覧いただきありがとうございます。