はじめに:宿泊業界がサイバー攻撃の「主戦場」になっている
現場で働いていると、「うちみたいな小さな旅館がサイバー攻撃を受けるわけがない」と思いがちです。しかし、2025年に起きた一連のインシデントは、その認識を根底から覆しました。
Booking.comを偽装した「ClickFix」と呼ばれる新手のフィッシング攻撃は、世界中のホテルスタッフを標的にしました。また、海外の予約システムベンダーPreferred Travel Group(PTG)への不正アクセスにより、東急ホテルズ&リゾーツや京王プラザホテルなど、日本の大手ホテルチェーンでも個人情報漏洩の可能性が公表されています。
本記事では、これらの最新事例を整理したうえで、現場のスタッフでも今日から始められるセキュリティ対策から、中長期的なゼロトラストPMSへの移行戦略まで、実務に直結するロードマップを提示します。宿泊業界に特化したセキュリティ記事として、経営者・マネージャー・DX推進担当者の皆さまに活用いただける内容を目指しました。
ClickFix攻撃とは何か:Booking.com偽装フィッシングの全貌
攻撃の仕組み
ClickFixとは、2025年に大規模に展開されたソーシャルエンジニアリング手法です。攻撃者はBooking.comやExpediaを装ったメールをホテルの予約担当者やマネージャーに送り、偽のエラーページに誘導します。
具体的な流れは以下のとおりです。
- 偽装メールの送信:「予約に関する重要な確認事項」「ゲストからのクレーム対応」など、現場スタッフが無視しづらい件名でメールが届く
- 偽エラーページへの誘導:リンクをクリックすると、Booking.comの管理画面に似せた偽ページが表示され、「認証エラーを解決するために以下のコマンドを実行してください」と指示される
- マルウェアの実行:指示に従ってPowerShellコマンドをコピー&ペーストすると、PureRATやDCRatなどの遠隔操作型マルウェアがインストールされる
- 認証情報の窃取:マルウェアがBooking.comやPMSの管理画面の認証情報を盗み、攻撃者のサーバーに送信する
現場では「Booking.comからの緊急連絡」と表示されるため、多忙なフロントスタッフが疑わずに操作してしまうケースが多発しました。Microsoftの調査によると、数百のフィッシングドメインが数か月にわたって活動していたことが確認されています。
二次攻撃:宿泊客への被害拡大
ClickFix攻撃の恐ろしさは、ホテル側の被害にとどまらない点です。攻撃者は盗んだ認証情報でBooking.comの管理画面にログインし、実際の予約情報を使って宿泊客にWhatsAppやメールで連絡します。「セキュリティ上の問題が発生したため、カード情報の再入力が必要」といった偽のメッセージを送り、クレジットカード情報を詐取するのです。
宿泊客からすれば、正規の予約番号・宿泊日・ホテル名が記載されたメッセージであるため、詐欺と見抜くことは極めて困難です。この二次攻撃により、ホテルの信用は深刻なダメージを受けます。
PTG予約システム侵害事例:日本のホテルチェーンへの影響
事件の概要
2025年4月〜5月にかけて、海外の予約システムベンダーPreferred Travel Group(PTG)が不正アクセスを受け、同社のシステムを利用していた日本の複数のホテルで個人情報漏洩の可能性が発表されました。
影響を受けたホテルは以下のとおりです。
| ホテル名 | 公表時期 | 漏洩の可能性がある件数 | 対象期間 |
|---|---|---|---|
| 東急ホテルズ&リゾーツ | 2025年4月 | 非公開 | PTGシステム利用期間中 |
| 京王プラザホテル | 2025年5月 | 978件(重複除外後) | 2024年10月〜2025年1月 |
| ホテルニューグランド | 2025年5月 | 非公開 | PTGシステム利用期間中 |
| ハレプナ ワイキキ | 2025年 | 非公開 | PTGシステム利用期間中 |
漏洩の可能性がある情報には、氏名・住所・メールアドレス・電話番号・予約内容に加え、クレジットカード番号の下4桁とカード名義人氏名も含まれていました。
この事例から学ぶべき教訓
実際に手を動かすと気づくのですが、PTG事例の本質は「自社ではなく委託先が攻撃を受けた」という点にあります。つまり、自社のセキュリティをいくら強化しても、サプライチェーン(委託先・ベンダー)のセキュリティが脆弱であれば、情報漏洩は防げません。
宿泊施設が外部の予約システムやPMSを利用する際は、以下の点を契約前に確認すべきです。
- ベンダーのセキュリティ認証(ISO 27001、SOC 2等)の取得状況
- インシデント発生時の通知義務と対応体制
- データの暗号化方式と保管場所
- 定期的な第三者によるセキュリティ監査の実施状況
- 個人情報保護法における「委託先の監督義務」への対応
セルフチェックインシステムの選定ガイドでも触れていますが、システム導入時にはセキュリティ要件を選定基準の最上位に置くことが重要です。
今日から始めるセキュリティ対策:MFA・EDR・基本防御
MFA(多要素認証)の全面導入
現場では「MFAって面倒」という声をよく聞きます。しかし、ClickFix攻撃で盗まれた認証情報がそのまま使われてしまうのは、MFAが設定されていないからです。MFAの導入は、コストゼロで即座に実施できる最も効果的な対策です。
導入すべき対象は以下のとおりです。
| 対象システム | 優先度 | 推奨MFA方式 |
|---|---|---|
| Booking.com / Expedia等OTA管理画面 | 最優先 | 認証アプリ(Google Authenticator等) |
| PMS(宿泊管理システム) | 最優先 | 認証アプリ+生体認証 |
| 公式サイトCMS | 高 | 認証アプリ |
| メールアカウント | 高 | 認証アプリ+ハードウェアキー |
| SNSアカウント | 中 | 認証アプリ |
| Wi-Fi管理画面 | 中 | パスワード+IP制限 |
SMS認証は SIMスワップ攻撃に脆弱なため、可能な限り認証アプリ(TOTP)またはFIDO2/WebAuthn対応のハードウェアキーを推奨します。
EDR(Endpoint Detection and Response)の導入
ClickFix攻撃では、スタッフのPCにマルウェアが直接インストールされます。従来型のウイルス対策ソフトでは検知が困難なケースも多く、EDRの導入が現実的な対策として注目されています。
EDRとは、PCやサーバーの挙動をリアルタイムで監視し、不審な動作を検知・対応するセキュリティ製品です。具体的には以下の機能を提供します。
- リアルタイム監視:PowerShellの不審な実行、外部への不正通信などを即座に検知
- 自動隔離:マルウェア感染が疑われる端末をネットワークから自動的に隔離
- フォレンジック:攻撃の経路と影響範囲を事後的に分析
宿泊施設向けには、CrowdStrike Falcon Go、Microsoft Defender for Business、SentinelOneなどが比較的導入しやすい選択肢です。月額1端末あたり500〜1,500円程度で、10端末規模の施設であれば月額5,000〜15,000円から始められます。
基本防御策チェックリスト
MFAとEDRに加えて、現場ですぐに実施できる基本的な防御策を以下にまとめました。
- PowerShell・コマンドプロンプトの実行制限:フロントや予約担当のPCでは、管理者以外のPowerShell実行を無効化する(ClickFix攻撃の直接的な対策)
- メールフィルタリングの強化:SPF・DKIM・DMARCの設定を確認し、なりすましメールの受信を防止
- パスワードポリシーの見直し:最低12文字以上、パスワードマネージャーの利用を義務化
- 定期的なセキュリティ教育:四半期に1回、フィッシング訓練メールを実施
- バックアップの3-2-1ルール:3つのコピー、2種類の媒体、1つはオフサイト保管
スマートロック導入ガイドで解説しているとおり、物理的なセキュリティとデジタルセキュリティは表裏一体です。鍵管理のデジタル化を進める際にも、必ずサイバーセキュリティの観点を含めて検討してください。
次世代PMS:ゼロトラスト+AI異常検知への移行戦略
ゼロトラストとは何か
従来のセキュリティは「社内ネットワーク=安全」という前提に立っていました。しかし、クラウドPMSやリモートワークが普及した現在、この「境界型防御」は機能しなくなっています。
ゼロトラストとは、「何も信頼しない、常に検証する(Never Trust, Always Verify)」という考え方に基づくセキュリティモデルです。具体的には以下の原則で運用されます。
- すべてのアクセスを検証:社内からのアクセスでも、毎回認証と認可を実施
- 最小権限の原則:必要最低限の権限のみを付与(フロントスタッフに経理データへのアクセス権を与えない等)
- マイクロセグメンテーション:ネットワークを細かく分割し、侵害が発生しても影響範囲を限定
- 継続的な監視:ユーザーの行動パターンを常時分析し、異常を即座に検知
AI異常検知の実装
次世代PMSに求められるもう一つの要素が、AI(人工知能)による異常検知です。従来のルールベースの検知(「1分間に100回ログイン失敗→ブロック」等)では、巧妙な攻撃を見逃す可能性があります。
AIベースの異常検知では、以下のような振る舞いを検知できます。
- 通常と異なる時間帯・場所からのログイン
- 短時間での大量データダウンロード
- 権限変更の異常な頻度
- 通常アクセスしないデータへのアクセス
- 予約データの一括エクスポートなど、通常業務では発生しない操作
AIフロント受付自動化の比較記事でも取り上げていますが、AI技術は業務効率化だけでなく、セキュリティ強化の観点でも宿泊業界に大きな変革をもたらしています。
ゼロトラスト対応PMS選定のポイント
PMSの選定・リプレイスを検討する際に、セキュリティ観点で確認すべき項目を以下にまとめます。
| 評価項目 | 確認ポイント | 重要度 |
|---|---|---|
| 認証方式 | MFA必須、FIDO2対応、SSO連携 | ★★★ |
| アクセス制御 | RBAC(ロールベースアクセス制御)、最小権限設定 | ★★★ |
| データ暗号化 | 保存時・通信時の暗号化(AES-256 / TLS 1.3) | ★★★ |
| 監査ログ | 全操作の記録、改ざん防止、90日以上の保存 | ★★★ |
| API セキュリティ | OAuth 2.0 / OpenID Connect、レート制限 | ★★☆ |
| AI異常検知 | 行動分析ベースの異常検知機能 | ★★☆ |
| セキュリティ認証 | ISO 27001 / SOC 2 Type II取得 | ★★☆ |
| インシデント対応 | 24時間対応窓口、SLA明記 | ★★☆ |
| データ主権 | データ保管場所の選択可否(国内DC指定) | ★★☆ |
実務レベルのセキュリティ強化ロードマップ
「何から手をつければいいか分からない」という声に応えて、施設規模別のロードマップを提示します。
Phase 1:即時対応(1〜2週間)—— コストゼロで始める基盤固め
- 全管理画面へのMFA導入(Booking.com、PMS、メール等)
- PowerShell・コマンドプロンプトの実行制限設定
- パスワードポリシーの見直しとパスワードマネージャーの導入
- 全スタッフへのClickFix攻撃に関する注意喚起と教育
- 緊急連絡体制の整備(インシデント発生時の連絡フロー作成)
Phase 2:短期対応(1〜3か月)—— 検知と防御の強化
- EDRの導入と設定(フロント・予約担当の全端末)
- メールセキュリティの強化(SPF・DKIM・DMARC設定)
- ネットワークの分離(業務用Wi-Fiとゲスト用Wi-Fiの完全分離)
- 委託先ベンダーのセキュリティ評価の実施
- バックアップ体制の構築(3-2-1ルールに準拠)
- 四半期ごとのフィッシング訓練の開始
Phase 3:中期対応(3〜6か月)—— ゼロトラストへの移行準備
- PMSのセキュリティ要件再評価と、必要に応じたリプレイス検討
- ID管理の統合(Azure AD / Okta等によるSSO導入)
- ネットワークのマイクロセグメンテーション
- セキュリティ監視の外部委託(SOCサービスの利用検討)
- 個人情報保護法に基づく委託先監督体制の強化
Phase 4:長期対応(6か月〜1年)—— 継続的改善
- AI異常検知機能を備えた次世代PMSへの移行
- ISMS(ISO 27001)認証の取得検討
- インシデント対応訓練(テーブルトップ演習)の定期実施
- サイバー保険の導入
- セキュリティKPIの設定と定期レビュー
セキュリティ投資のコスト感と補助金活用
「セキュリティ対策にはお金がかかる」という印象があるかもしれませんが、施設規模に応じた現実的なコスト感を把握しておくことが重要です。
| 対策項目 | 小規模(10室以下) | 中規模(10〜50室) | 大規模(50室以上) |
|---|---|---|---|
| MFA導入 | 0円(無料ツール) | 0円(無料ツール) | 月額3〜5万円(統合管理) |
| EDR | 月額5,000〜10,000円 | 月額15,000〜50,000円 | 月額50,000〜150,000円 |
| メールセキュリティ | 月額3,000〜5,000円 | 月額10,000〜30,000円 | 月額30,000〜100,000円 |
| セキュリティ教育 | 年額50,000〜100,000円 | 年額100,000〜300,000円 | 年額300,000〜500,000円 |
| SOCサービス | — | 月額50,000〜100,000円 | 月額100,000〜500,000円 |
中小規模の宿泊施設では、IT導入補助金(セキュリティ対策推進枠)の活用が有効です。2025年度のセキュリティ対策推進枠では、EDRやUTM等のセキュリティ製品の導入に対して最大100万円(補助率1/2)の補助が受けられます。申請にはIPAが公開する「SECURITY ACTION」の宣言が必要ですので、まだ宣言していない施設は早めに対応しましょう。
また、情報漏洩が発生した場合の損害額を考えると、セキュリティ投資は「コスト」ではなく「保険」です。個人情報保護委員会への報告義務、顧客への通知費用、信用回復のための広報費用、訴訟リスクなどを考慮すると、1件のインシデントで数百万〜数千万円の損害が発生し得ます。
セキュリティ運用体制の構築
役割と責任の明確化
セキュリティ対策は「誰かがやってくれる」では機能しません。現場では以下のような役割分担を明確にすることが重要です。
- セキュリティ責任者(CISO相当):経営層またはマネージャーが兼任。セキュリティ方針の決定と予算確保を担当
- セキュリティ担当者:IT担当者またはDX推進担当が兼任。日常的な監視・対応とベンダー連携を担当
- 各部門のセキュリティリーダー:フロント・予約・経理等の各部門から1名。部門内の教育とインシデント時の初動対応を担当
小規模施設では1人が複数の役割を兼任することになりますが、「誰が何を担当するか」を文書化しておくことが重要です。
インシデント対応フローの整備
万が一サイバー攻撃を受けた場合に備え、以下のような対応フローを事前に策定しておきましょう。
- 検知・初動:異常を発見したスタッフがセキュリティ担当者に即報告。感染が疑われる端末をネットワークから隔離
- 影響範囲の特定:EDRログやアクセスログを確認し、被害範囲を特定
- 経営判断:セキュリティ責任者が対応方針を決定(外部専門家への依頼、法的対応等)
- 法的対応:個人情報漏洩の場合、個人情報保護委員会への報告(速報は発覚から3〜5日以内、確報は60日以内)
- 顧客対応:影響を受けた顧客への通知と問い合わせ窓口の設置
- 再発防止:原因分析と対策の実施、全スタッフへの情報共有
2026年に備える:AIエージェント攻撃の脅威
セキュリティベンダーのトレンドマイクロは、2026年の脅威予測として「AIエージェントを用いた自律型サイバー攻撃」の出現を警告しています。攻撃者がAIエージェントを使い、偵察から初期侵入、情報窃取までを自動的に実行できるようになる可能性が指摘されています。
宿泊業界にとって、これは以下のリスクを意味します。
- フィッシングメールの精度が飛躍的に向上(完璧な日本語でのカスタマイズ)
- 攻撃の速度と規模の大幅な拡大
- 予約システムやPMSの脆弱性を自動的にスキャンして悪用
AIチャットボット導入ガイドでも述べたとおり、AI技術は業務改善の強力なツールですが、攻撃者側もAIを活用していることを忘れてはなりません。防御側もAIを活用した次世代セキュリティへの投資を今から検討すべきです。
まとめ:経営課題としてのサイバーセキュリティ
2025年のClickFix攻撃やPTG侵害事例は、宿泊業界がサイバー攻撃者にとって格好のターゲットであることを明確に示しました。個人情報を大量に扱い、24時間365日稼働し、IT専任者が少ない宿泊施設は、攻撃者にとって「効率の良い」標的です。
しかし、本記事で示したとおり、対策の多くは今日から始められるものです。MFAの導入、PowerShell実行制限、スタッフ教育といった基本対策は、コストをほとんどかけずに実施できます。そのうえで、EDRの導入やゼロトラストPMSへの移行を段階的に進めることで、中長期的なセキュリティ体制を構築できます。
サイバーセキュリティは、もはやIT部門だけの課題ではありません。経営課題として取り組み、投資として捉えることが、宿泊施設の信頼と事業継続を守る鍵となります。
