ロシアのハッカーによる大規模フィッシング攻撃が発生
ロシアのハッカー集団が、ホスピタリティ業界の顧客、特にホテルの宿泊客を標的とした大規模なサイバー攻撃を展開していることが明らかになりました。
Netcraftのセキュリティ研究者によって報告されたこのキャンペーンでは、実に4,300以上もの偽の旅行予約サイトが作成されています。これらの偽サイトの目的は、宿泊客の認証情報やクレジットカードなどの支払いデータを盗み出すことです。
この記事では、The Hacker Newsで報じられたこの巧妙な攻撃の手口と、私たちが被害に遭わないための注意点を解説します。
巧妙な手口:人気旅行サイトを装う偽サイト
今回の攻撃が非常に悪質である理由は、その手口の巧妙さにあります。ハッカー集団は、私たちが普段利用している正規の旅行サイトを完璧に模倣しています。
Booking.comやAirbnbまで模倣
分析によると、確認された4,344の偽ドメインのうち、以下のような人気ブランドの名前が含まれていました。
- Booking.com: 685件
- Expedia: 18件
- Agoda: 13件
- Airbnb: 12件
これらのサイトは、各ブランドのロゴやデザインを盗用し、一見しただけでは本物と区別がつきにくいように作られています。
信頼させるための細工
さらに、これらの偽サイトはセキュリティチェックを回避し、ユーザーを信用させるための技術的な細工が施されています。
- CAPTCHAフィルター: セキュリティソフトによる自動スキャンを回避するために使用されます。
- データの事前入力: 偽サイトにアクセスした際、被害者のデータ(名前や予約情報など)がすでに入力されているように見せかけ、正規のサイトであると誤信させます。
- ドメイン名: “confirmation”(確認)、”booking”(予約)、”guestcheck”(宿泊客チェック)といった、それらしい単語をドメイン名に含み、正当性を偽装しています。
攻撃のフロー:フィッシングメールから情報窃盗まで
このサイバー攻撃は、典型的なフィッシングの手法から始まります。
1. 「24時間以内の予約確認」を促すメール
まず、標的となった宿泊客に対し、**「予約内容を確認するため、24時間以内にクレジットカード情報を入力してください」**といった内容のフィッシングメール(スパムメール)が送られます。
2. 偽サイトへの誘導
被害者がメール内のリンクをクリックすると、複数回の自動転送(リダイレクト)を経て、前述の精巧な偽サイトに誘導されます。
3. 情報の窃盗と送信
被害者が偽サイトとは気づかずに認証情報(ID、パスワード)やクレジットカード情報を入力すると、そのデータは即座に盗み出されます。盗まれた情報は、Telegramボットを通じて、攻撃者の管理するサーバーへと送信される仕組みになっていました。
目的は「大規模な認証情報の窃盗」
この攻撃キャンペーンは2025年2月頃から本格化したと見られています。研究者は、この攻撃の唯一の目的が**「産業レベルでの大規模な認証情報窃盗」**であると指摘しています。
最近では、ホテル経営者自身を標的にしてマルウェアに感染させ、本物の予約システムから顧客情報を盗み出し、その情報を使って顧客にフィッシングメールを送るという、さらに手の込んだ攻撃もSekoiaによって報告されています。
まとめ:旅行予約時に注意すべきポイント
今回のロシアのハッカーによる攻撃は、非常に巧妙であり、誰でも被害に遭う可能性があります。旅行の予約に関連するメールを受け取った際は、以下の点に十分注意してください。
- 緊急性を煽るメールは疑う: 「24時間以内」「至急確認」といった言葉で行動を急かすメールは、フィッシングの典型的な手口です。
- リンクを直接クリックしない: メール内のリンクからではなく、必ず公式アプリやブックマークした公式サイトからログインして情報を確認してください。
- ドメイン名をチェックする: ブラウザのアドレスバーを注意深く確認し、スペルミスがないか、”booking.com” などの正しいドメインであるかを確認しましょう。
- 不自然なデータ入力を求められたら中断する: すでに予約が完了しているはずなのに、再度クレジットカード情報全体やパスワードの入力を求められた場合は、詐欺を疑いましょう。