送信者は宿泊先ホテルを名乗っており、本文には記者のフルネーム、予約番号、滞在日程がすべて正確に記されている。そのうえでメッセージは、24時間以内に支払い情報を入力するよう求める内容だった。
記者はブッキング・ドットコムのガイドラインに従い、不審なメッセージが届いたと報告。翌日になってから電話が入り、そのメッセージはホテルから送られたものではないので削除するよう指示された。
では、これほど詳しい予約情報は、どこから流出したのか。
実はブッキング・ドットコムは、ハッキングの標的になっている。英公共放送のBBCによると、顧客の氏名、メールアドレス、電話番号、予約詳細がハッカーに盗まれた。どれだけの利用者が影響を受けたのか、同社は明らかにしていない。
サイバーセキュリティ企業ノートンは、この手口を「予約ハイジャック(予約の乗っ取り)」と名付けている。犯罪者は、本物の予約データを掌握。利用者の氏名や宿泊日を記したメールが届けば、正規のホテルからの連絡だと信じてしまいやすい。
同社のセキュリティ・エバンジェリスト、ルイス・コロンズ氏は、「まるで通常のカスタマーサービスのように詐欺を演じることができる」と警告する。
パキスタンから届いたメールの正体
詐欺被害は、世界各地で報告されている。
カナダ国営公共放送のカナダ放送協会によると、トルコ・イスタンブール在住のメルト・アクタスさんはギリシャのホテルを予約して3カ月も経ってから、パキスタン発の不審なワッツアップのメッセージを受信した。
ブッキング・ドットコムは当初、ホテル側の問題だと片づけた。数日後にようやく個人情報の流出を認めている。「透明性がまったくない」とアクタスさんは憤る。
一方、カナダ・マニトバ州在住のエイミー・ウォームズさんが受け取ったのは、カタルーニャ語で書かれたデータ侵害の通知だった。自分の情報がなぜスペインと結びつくのか、心当たりすらない。
BBCは2023年3月以降、この種の詐欺を繰り返し報じてきた。今年4月15日の報道時点でも、なおも数十人という被害者たちが同局に連絡を寄せているという。
