予約サイトのメッセージ、本当にホテルから?──Booking.comを装うフィッシングに注意
2026年5月21日、Booking.com経由で予約した宿泊客に、ホテルを装ってクレジットカード情報を求めるフィッシングメッセージが配信される事象を、複数の宿泊施設が相次いで公表した。手口の巧妙さは、攻撃者がホテルの管理画面を乗っ取り、予約サイトの「公式メッセージ機能」を使って本物の予約情報つきで送ってくる点にある。「予約サイト経由だから安全」という思い込みがなぜ通用しないのか、家庭・学校で話せる見破り方とともに整理する。
「予約サイトから届いたメッセージなら、本物のホテルからだよね?」──その思い込みが、いま狙われています。
2026年5月、Booking.com経由で予約した宿泊客に、ホテルを装ってクレジットカード情報を求める不審なメッセージが配信される事象を、複数の宿泊施設が相次いで公表しました。
🟨 この記事のポイント(1分で理解)
- 予約サイト経由で予約した人に、ホテルを装って「カード情報の再確認が必要」というメッセージが届く詐欺が広がっている
- メッセージが予約サイトの「公式メッセージ機能」やメールから届くため、本物と見分けにくいのが今回の特徴
- 本物の予約情報(名前・宿泊日)が書かれていることもあり、信頼してしまいやすい
- 各施設は「WhatsAppなど外部メッセージアプリで予約確認や支払いを求めることはない」と注意喚起している
- 対策はシンプル。メッセージのリンクからは入力せず、公式アプリ・公式サイトに自分でログインして確認する
予約サイトを装うフィッシングで実際に起きていること
2026年5月21日前後、Booking.comを通じて宿泊予約をした一部の利用者に対し、ホテルを装ってクレジットカード情報の入力を求める不審なメッセージが届いているとして、複数の宿泊施設が注意喚起を公表しました。メッセージには「予約確認のためにカード情報が必要」「支払いが完了していない」といった内容で、偽のサイト(フィッシングサイト)へ誘導するURLが含まれている、とされています。
連絡の経路は、WhatsAppなどのメッセージアプリや、予約サイトのメッセージ機能など複数の形が確認されています。各施設は、外部メッセージアプリで予約確認や支払いを求めることはないとして、不審なURLにアクセスしないよう呼びかけています。
この手口は今回が初めてではありません。観光庁も2023年11月、Booking.com社が提供し宿泊施設で管理する宿泊予約情報管理システムが不正アクセスを受け、一部の旅行者に対してカード情報などを求めるフィッシングサイトへ誘導するメッセージが配信される事案について注意喚起しています。セキュリティ関連メディアの集計でも、2023年6月以降、国内の宿泊施設で同様の注意喚起が相次いでいるとされています。
なぜ「予約サイト経由だから安全」が通用しないのか
これは旅行好きの大人だけの話ではありません。家族の予約、部活の遠征、受験の宿泊先──予約サイトを使う場面は、誰の身近にもあります。
通常のフィッシングは「差出人のアドレスが怪しい」「日本語が不自然」「身に覚えのない請求」といったサインで見破れることが多いものです。ところが今回の手口は、これらのサインが当てになりにくいところに怖さがあります。
攻撃者は「ホテルの中の人」になりすましている
同種の攻撃では、宿泊施設側の予約管理アカウントが不正アクセスを受け、そのアカウントから予約客にメッセージが送られるケースがあります。原因としては、施設側の端末の感染や認証情報の窃取などが指摘されていますが、個別の事案では原因や詳細を調査中としているものもあります。
受け取る側から見ると「正規の予約サイトのメッセージ機能から」「自分の本当の予約情報つきで」連絡が届くことになります。これでは、差出人や日本語の不自然さで見破るのは困難です。だからこそ、見た目で判断するのをやめ、「メッセージ内のリンクからカード情報を入力させようとしていないか」という行動のルールで身を守る発想への切り替えが必要になります。
家庭・学校でできること
特別な知識は要りません。次のルールを家族で共有しておくだけで、今回の手口にも、似たほかの詐欺にも対応できます。
- カード情報をメッセージで求められたら、まず疑う。特に、WhatsAppなど外部メッセージアプリや、メッセージ内のURLからカード番号を入力させようとする案内は危険です。必要な確認は、公式アプリや公式サイトを自分で開いて行います。
- メッセージ内のリンクからは入力しない。確認が必要なときは、リンクを踏まず、公式アプリや公式サイトを自分で開いて(ブックマークや検索から)ログインし、予約内容を確かめます。
- 連絡経路が複数にまたがる時ほど警戒する。「メールが来て、次はWhatsAppで」というように経路が切り替わるのは、注意すべきサインのひとつです。
- 不安なときはホテルの公式電話番号に直接かける。メッセージに書かれた番号ではなく、公式サイトに載っている番号を使います。
- もし入力してしまったら、すぐにカード会社へ。利用停止・再発行を相談し、消費者ホットライン「188」や警察への相談も検討します。
👋
中高生のみんなへ
ホテルの予約なんてまだ自分には関係ない、と思うかもしれない。でもこの詐欺の「型」は、みんながよく見るものとそっくりなんだ。
「宅配便が届けられませんでした」「スマホ代の支払いが確認できません」「ポイントの有効期限が切れます」──こういうメッセージにリンクが付いていて、開くとカード番号や暗証番号を入れさせようとする。今回のホテルの件と、中身はまったく同じしくみだよ。
「本物っぽい」は、もう判断材料にならない
昔は「日本語が変」「アドレスが怪しい」で見破れた。でも今回みたいに、宿泊施設側の予約管理アカウントが不正アクセスを受け、本物の予約情報を使ってメッセージが送られる手口だと、見た目では区別しにくい。だから「本物っぽいかどうか」で考えるのをやめて、「カード情報や暗証番号をメッセージ内リンクから入力させようとしていないか」で判断しよう。
覚えておいてほしいこと
お金やカードの情報を「今すぐ」「このリンクから」入れさせようとするメッセージは、まず疑っていい。あわてて入力する前に一度手を止めて、公式のアプリやサイトを自分で開いて確かめる。それでも不安なら、家族に「これ、どう思う?」と聞いてみよう。数分でもいいから手を止めるだけで、詐欺に気づけることがある。
💬 友達や家族と話してみよう
最近スマホに届いた「お金の確認」メッセージを思い出してみよう。あれは本物だった? もし偽物だったとしたら、どこで見破れただろう? 家族とお互いの「あやしかったメッセージ」を共有してみると、詐欺の型が見えてくるよ。
✔
カード情報を入力する前のチェックリスト
スクショして保存しておくのがおすすめ。メッセージのリンクからカード情報を入れそうになったら、以下の4つを自分に問いかけてみよう。
-
① そもそも、メッセージでカード情報を求められていないか?
WhatsAppなど外部メッセージアプリや、メッセージ内リンクからカード番号を入力させようとする案内は赤信号です。入力する前に、公式アプリや公式サイトを自分で開いて確認します。 -
② リンクを踏まずに、自分で公式アプリ・公式サイトから確認したか?
本当に手続きが必要なら、公式アプリにログインすれば同じ案内が出ているはず。メッセージのリンクは使いません。 -
③ 「今すぐ」「キャンセルされます」と急かされていないか?
焦らせて考える時間を奪うのは、詐欺の常套手段。急かされているときこそ、一度手を止めます。 -
④ 連絡の経路が、途中で切り替わっていないか?
予約サイトのメールから、急にWhatsAppや別アプリへ誘導される流れは要注意。経路の切り替わりはサインのひとつです。
迷ったら入力しない。公式アプリを自分で開いて確かめる。
この2つを習慣にするだけで、多くのフィッシング被害を避けやすくなります。
関連情報・参考リンク
このニュースについて、さらに詳しく知るための情報です。
📰 元記事・関連ニュース(一次情報)
-
🔗ホテルサンルート浅草(相鉄ホテルズ)
フィッシングサイトへ誘導する不審なメッセージについての注意喚起(2026年5月21日) -
🔗京都センチュリーホテル(京阪ホテルズ&リゾーツ)
不正アクセスとフィッシングメッセージ配信に関するお詫びとお知らせ(2026年5月)
📖 関連する公的機関・相談窓口
ℹ️ 外部リンクは新しいタブで開きます。記事が削除されている場合があります。※状況は今後変わる可能性があります。