オンライン・セキュリティ:ソーシャル・エンジニアリングについて

弊社のパートナー施設の皆様は、ゲストの氏名や住所、クレジットカードから電話番号に至るまで、膨大な個人情報を閲覧することができます。

そのため貴施設の管理画面アカウントは、アカウント内に存在する個人情報を様々な手口で狙うネット犯罪者や詐欺師たちのターゲットとなってしまうことも。

実に多様な手口が存在していますが、その中に「ソーシャル・エンジニアリング」と呼ばれるものがあります。

ソーシャル・エンジニアリングとは何ですか?

ソーシャル・エンジニアリングは、対象を騙すことで通常公開しない機密情報やデータを聞き出そうとする手口のことを指します。

Booking.comに関する例を挙げると、管理画面へのログイン情報を言葉巧みに聞き出すことで、個人を特定できる情報や支払いに使用されたカード情報などの機密情報を盗み出そうとするのに用いられることがあります。

ソーシャル・エンジニアリングの目的は何ですか?

多くの場合、ソーシャル・エンジニアリングの目的は、貴施設の管理画面アカウントへのログイン情報を聞き出して、以下のような機密情報を盗もうとすることです。

  • ゲストの個人情報(氏名、電話番号、住所など)
  • ゲストの支払い情報(クレジットカード番号)
  • 貴施設の情報(連絡先情報、財務に関する情報など)

管理画面内で閲覧できる情報はすべて、ソーシャル・エンジニアリングによって管理画面にアクセスできた犯罪者たちのターゲットとなりえます。

ソーシャル・エンジニアリングを見抜く方法

ソーシャル・エンジニアリングを見抜くのは容易ではないため、効果的な手口として犯罪者たちによく用いられています。そこで、ソーシャル・エンジニアリングの被害に合わないようにするための注意点をご紹介します。

不審、または唐突な依頼にはご注意ください

  • 通常では行わないことを貴施設に行わせようとするために、ソーシャル・エンジニアリングが用いられます。電話やメールで何かを行うように依頼された場合、必ず依頼主と理由を尋ねるようにしてください。
  • 詐欺師は信頼性のある人物を装おうとします。Booking.comの社員、または貴施設のジェネラルマネージャーを騙る者から不審な依頼の電話があった場合、発信元を確認して身元を確かめてください。

緊急性を煽る依頼にはご注意ください

  • ターゲットに行動させるため、緊急性の高い依頼をしているように見せかけることが多々あります。依頼内容を実行しないと「アカウントにログインできなくなります」、または「アカウントが削除されてしまいます」などといった文言が添えられている場合、注意が必要です。

不正確な情報を含む依頼にはご注意ください

  • 通常、詐欺師は弊社のプロダクトや手続きに関して正確には理解していないため、不自然な依頼を行うことがよくあります。このような場合、「やむを得ない状況が発生したため」や「手続きに変更があったため」などといった説明で正当化しようと試みるケースが一般的です。

ソーシャル・エンジニアリングから身を守る方法

  • ソーシャル・エンジニアリングで用いられる電話やメッセージ(SMSやWhatsApp、メールなど)の大半は、Booking.comや貴施設の従業員を騙る詐欺師によるものです。不審に感じた場合、依頼に応じる前にreport@booking.comまでメッセージを送るようにしてください。
  • Booking.comや貴施設の従業員を名乗る者からユーザー名やパスワードを尋ねられた場合、決して共有しないでください。Booking.comが宿泊施設パートナー様のユーザーネームやパスワードに関して問い合わせることは一切ありません。また、2段階認証の認証コードも他人と共有しないようご注意ください。
  • 貴施設の管理画面アカウントで何かしらの変更(連絡先情報の変更、ユーザーアカウントの追加、プロモーションの追加設定など)を行うようにメッセージや電話で依頼された場合、依頼主の身元を必ずご確認ください。
    • Booking.comの社員と名乗る者からの依頼の場合、貴施設の担当アカウント・マネージャーか弊社のカスタマーサービスに電話して確認してください。
    • 貴施設の従業員を名乗る者からの依頼の場合、本人に電話して依頼を行ったか確かめてください。

ソーシャル・エンジニアリングの被害に遭ってしまったと思われる場合、どうすればいいですか?

以下の手順で貴施設のアカウントを保護してください:

  1. こちらからBooking.comの管理画面アカウントのパスワードをリセットしてください。
  2. 貴施設の管理画面アカウント内のすべての情報(空室状況、プロモーション、連絡先情報、ユーザーアカウントなど)を確認し、何か変更されていないか調べてください。
  3. 状況に関して弊社に報告してください!個人に関する機密情報が漏洩した恐れがあるため、不正ログインが行われた可能性がある旨を弊社の担当部署(report@booking.com)までメールにてご連絡ください。
  4. ご連絡いただく際、状況に関する情報を可能な限りご提供ください(電話やメールで連絡してきた者が誰を名乗っていたか、どのような依頼内容だったかなど)。