オンライン・セキュリティとソーシャル・エンジニアリングについて
弊社のパートナー施設様は、ゲストの氏名や住所、クレジットカード情報から電話番号に至るまで、ゲストに関連する大量のデータに弊社プラットフォーム上でアクセスできます。
そのため貴施設の管理画面アカウントは、このような貴重なデータを様々な手口で狙うネット犯罪者や詐欺師たちのターゲットとなってしまうこともあり得ます。ソーシャル・エンジニアリングはそのような手口のひとつであり、本記事ではこれについてご説明します。その他にも、一般的な手口としてフィッシングとマルウェアという2つの手口が挙げられます。
本記事の内容
ソーシャル・エンジニアリングを理解する
ソーシャル・エンジニアリングは、相手を騙すことで、通常は開示されない機密情報やデータを入手しようとする犯罪の手口のことを指します。サイバー犯罪者はこの手口を使って管理画面のログイン情報を入手し、個人を特定できる情報(氏名や住所など)やクレジットカード情報など、ゲストに関する機密情報を盗み出そうとする場合があります。
ソーシャル・エンジニアリングを見抜く方法
ソーシャル・エンジニアリングを見抜くのは容易ではないため、効果的な手口として犯罪者たちによく用いられています。そこで、ソーシャル・エンジニアリングの被害に遭わないようにするための重要な注意点を以下にご紹介します。
- 不審、または唐突な依頼 – 例えば、電話やメールで何かしらの依頼を突然される場合があります。このような場合は、必ず依頼主とその理由を尋ねるようにしてください。
- 信頼性の高い人物の名を騙る連絡 – 貴施設または弊社の従業員だと主張する人物から電話があった場合、発信元の電話番号をチェックし、身元の確認を行うようにしましょう。確信がない場合は一度電話を切り、貴施設で把握している当該人物の電話番号に直接かけなおしてください。
- デスクトップの遠隔操作 – 一度貴施設の信頼を得たら、詐欺師はソフトウェアを使って貴施設の端末を閲覧・操作し、機密情報にアクセスしようとする可能性があります。弊社が、ソフトウェアのインストールや遠隔操作に必要な情報の共有をお願いすることは決してありません。このような依頼をされた場合は、まずは相手を疑って、依頼内容にそのまま同意しないようにしましょう。
- 不審な操作の記録 – 管理画面やその他システムで身に覚えのない変更や操作に気が付いたら、弊社までご報告ください。ご報告を元に、確認のために弊社よりご連絡を差し上げます。必要な場合は、貴施設の端末に不審なソフトウェアがインストールされていないか確認するための作業をお手伝いいたします。
- 緊急性を煽る依頼 – 詐欺師は電話やメールを通じて何かしらの依頼を伝え、依頼内容を実行しなかった場合、アカウントへのログインが不可能となったり、アカウントを削除するというような警告をする場合があります。緊急性が高いように見せかける内容に惑わされずに、依頼の内容に疑問を持つようにしましょう。
- 不正確な情報 – 通常、詐欺師は弊社のプロダクトや手続きに関して正確には理解していないため、不自然な依頼を行うことがあります。このような場合、「やむを得ない状況が発生したため」や「手続きに変更があったため」などといった説明で正当化しようと試みます。そのような言動は危険信号とみなし、不審に思った場合は弊社に直接お問い合わせください。
ソーシャル・エンジニアリングから身を守る方法
- 弊社または貴施設のスタッフを騙る人物から不審な、または突然の電話、メッセージ、メールを受け取った場合、まずは最初に弊社にご報告ください。
- ユーザー名、パスワード、2段階認証の認証コードなどの共有を要求された場合は、拒否してください。弊社がこれらの情報を伺うことは決してありません。
- 管理画面で何かしらの変更(連絡先情報の変更、ユーザーアカウントの追加、プロモーションの追加設定など)を行うように依頼された場合、依頼主の身元を必ずご確認ください。弊社の従業員を名乗る人物からの依頼の場合、貴施設の担当アカウント・マネージャーか弊社のカスタマーサービスに直接電話して確認してください。貴施設の従業員を名乗る人物からの依頼の場合、貴施設にて把握している電話番号にかけなおして本人にご確認ください。
管理画面を操作する際に、匿名でオンライン操作を行うことができるツール(「シークレットモード」などが挙げられますがこれに限りません)を使用することは、安全性の観点から推奨していません。
ソーシャル・エンジニアリングの被害に遭ってしまった場合の対処方法
ソーシャル・エンジニアリングの被害に遭ってしまったと思われる場合は、以下の手順で貴施設のアカウントを保護してください。
- こちらから管理画面アカウントのパスワードをリセットしてください。
- 管理画面内のすべての情報(空室状況、プロモーション、連絡先情報、ユーザーアカウントなど)を確認し、何か変更されていないか調べてください。
- 貴施設アカウントへの不正アクセスが発生した可能性がある旨を、弊社まで速やかにお知らせください。その際は、弊社にてご報告内容を調査できるよう、連絡してきた人物が誰を名乗っていたか、どのような依頼内容だったかなどの情報をご提供ください。
法律に関するメッセージや最新情報をすべて、いつでもまとめて確認できるようになりました。
-
法律&セキュリティ関連
-
- アカウント認証フォーム(Know Your Partner)を記入しなければならない理由について
- Pulseをより安全に使うには
- オンライン・セキュリティとソーシャル・エンジニアリングについて
- オンラインセキュリティに対する注意喚起:フィッシングについて
- アカウントの不正利用を防ぐために
- アカウントのセキュリティ確保について
- 監視装置に関する要件と規制について
- デジタルイベントのセキュリティ基準
- 客室の鍵へのアクセスに関するガイドライン
- 宿泊施設を安全で清潔に保つために
- 【バケーションレンタルタイプの宿泊施設様対象】安全装置や救急用品の設置、および避難計画の策定について
- 【バケーションレンタルタイプの宿泊施設様対象】貴施設を守るためのセキュリティ機器について
- パートナー賠償責任保険
- ウクライナ難民に対する人身取引の可能性の特定と対応について
- セキュリティに関する問題を報告する
- オンラインセキュリティに対する注意喚起:マルウェアについて
-
- 各地域における法的規制
- 掲載を中止したり、Booking.comとの契約を解約するには、どうすれば良いですか?
- 宿泊施設の所有者が変わる場合には、どうすれば良いですか?
- 弊社の動物福祉基準について
- 【アクティビティ / ツアー提供会社様向け】Booking.comの動物福祉基準
- 一般取引条件(GDT)はどこで確認できますか?
- 欧州連合(EU)消費者関連法への準拠について
- オーナータイプ(プロフェッショナル / プライベート)の自己申告(必須)について
- 等価性(パリティ)はどのような仕組みになっていますか?
- 弊社の理念およびガイドライン
- よりシンプルなポリシーで透明性と明瞭さを提供
- サプライヤー行動規範
- 不可抗力事象について
- 緊急事態による一時閉鎖に伴う対応について
- 短期貸出について
- 短期貸出:よくある質問
- 全国旅行支援キャンペーン:よくある質問
- 予約リクエストを承認または拒否する際の差別禁止ガイドライン