Cyber Security Intelligence Vox

Rocket Boysによると『株式会社レアルは同社が利用するBooking.com(ブッキングドットコム)へ不正アクセスが発生し、一部予約者へフィッシングメッセージが配信されたことと個人情報漏洩の可能性を発表しました。』と報じている。

この報道では『2024年12月27日22時頃～2024年12月29日13時頃、Booking.com社を通じて弊社宿泊施設を予約された一部の顧客に対し、同社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信された可能性があることを確認。』と報じている。

株式会社レアル自体は発表文がありませんので、詳細は分かりませんが、Booking.comの管理アカウントが侵害され、Booking.comの管理権限で情報の取得や、顧客むけメールが発信されたのでしょう。

よくあるパターンという意味では、Booking.comの管理アカウントのアカウント名とパスワード、特にパスワードが簡単なもので破られた可能性があると想像します。

会社内の共有アカウントの様に使っていたために、パスワードの複雑さを簡単なものにして、更新頻度が低いといったことが考えられます。そうしないと運用コストが高くなりますからね。

結果としてお客様に迷惑をかけ、運用コストの低減がイコール会社の信頼性の低減につながってしまった例になると思います。

https://rocket-boys.co.jp/security-measures-lab/real-booking-hack-data-leak/

株式会社レアル、Booking.comへの不正アクセスにより個人情報漏洩の可能性