Cyber Security Intelligence Vox

Rocket Boysによると『株式会社レジステイがAirbnbアカウントの不正アクセスによるフィッシング詐欺被害を公表しました。サイバー攻撃者はアカウントを乗っ取り、予約客に対しフィッシングサイトへ誘導するメッセージを送信。さらに、一部のお客様の個人情報が第三者に閲覧された可能性があることも判明しました。』と報じている。

この報道では『不正アクセスの原因や、漏洩した可能性のある個人情報の範囲については現在も調査中であり、Airbnb社や捜査機関と連携し、さらなる解析中』と報じている。

宿泊事業者にとって宿泊予約サイトは、ある意味で事業運営に必要な機能を提供するSaaSサービスに例えることが出来るでしょう。

業務として宿泊事業を行う会社のスタッフが取り扱うため、「複数人のスタッフが共有アカウントを使う」という状態か、各スタッフが業務用のアカウントを管理・使用している状態になっているのではないかと思います。

こうした場合、パスワードポリシーや多要素認証の使用などの、いわゆるアカウント管理が非常に大事になりますが、それらがガバナンスとして徹底されているかが問われているのだと思います。

結果として、こうした顧客被害につながる事態を発生させ、会社としての公式発表もない、というガバナンス不全が露呈してしまい、事業者として信頼失墜につながります。

https://rocket-boys.co.jp/security-measures-lab/registei-airbnb-hack-phish/

株式会社レジステイのAirBNBへ不正アクセス、一部予約者へフィッシングメッセージを送付