出張のホテルや交通機関に潜むセキュリティ脅威 予約サイトで100カ所超の宿泊施設が偽装被害

全体的な攻撃数の増加に加え、個々の攻撃の巧妙さも格段に上がっている。

宿泊予約サイトのBooking.comは昨年から、宿泊施設側にセキュリティに関する注意喚起を行っている。言及されている攻撃手口は、まず攻撃者が宿泊施設の管理アカウントのユーザー名とパスワードを騙し取って乗っ取り、施設になりすまして宿泊客にメールを送付する。そして「事前決済」などと称して偽サイトに誘導し、クレジットカード情報などを入力させて窃取するのだ。同様の被害は国内でも相次いでいると報道されており、今年4月時点で少なくとも21都道府県118カ所の宿泊施設が被害を公表している。

これに関してチェック・ポイント・リサーチは昨年、「一番人気の仕事」という謳い文句で不正アクセスの協力者を求めている疑いが強い「求人広告」を発見している。この広告からは、匿名性が高い「ダークウェブ」と呼ばれる闇サイトにて、報酬と引き換えにサイバー攻撃の実行役を得ている実態が浮かび上がる。サイバー攻撃のエコシステムは、もはやビジネス化しているのだ。

予約サイトを装った従来の攻撃も継続されている。

個人で宿泊サイトを利用する際は、以下のようなやりとりに注意していただきたい。

1. 緊急性を煽る連絡：宿泊先からメールやメッセージを通じて「すぐに振り込まないと予約がキャンセルになる」などと早急な対応を求めてくるケース。フィッシング攻撃ではしばしば、被害者を不安にさせて正常な判断を妨げる手段が用いられる。

2. 個人情報の入力を求める連絡：決済情報としてクレジットカード情報やユーザー名、パスワードなどを入力する際、攻撃者が用意した偽サイトに誘導されているリスクがある。少しでも怪しく感じたら、ドメインを注意深く確認したい。誘導されたサイト内にある問い合わせ先ではなく、改めて正規の問い合わせ先を検索して確認・連絡するのも有効だ。

旅行会社から請求書をダウンロードしたらマルウェア感染

以下は、「信頼できる」旅行会社を装ったフィッシングメールに、請求書に見せかけたpdfファイルを添付し、「AgentTesla」という情報窃盗型のマルウェアをダウンロードさせる攻撃だ。

この例では、「noreply@b00king[.]biz」という偽のメールアドレスから、「Booking.com Invoice 3255753442」という件名のメールが送信されており、そこに「Invoice-3255753442.pdf」というPDFファイルが添付されている。PDFファイルを開こうとすると、「リーダがサポートされない」というメッセージとともに攻撃者が仕掛けたページにリダイレクトする。その後、PDFファイルを開いているように見せかけながら、さらに正規のBooking.comのメインページにリダイレクトする。一見正常に見えるが、この間に悪意のJavaスクリプトファイルがダウンロードされており、マルウェアをダウンロードしてしまうという仕掛けだ。