スマートフォンでホテル予約をする方は増えています。特に大手予約サイトであるBooking.comを利用したことがある人なら、2026年4月に同サイトが不正アクセスを認定したというニュースを覚えているかもしれません。この事件は、単に1社の問題ではなく、すべての予約サイト利用者に関わる「予約後の連絡」を装ったフィッシング詐欺の危険性を浮き彫りにしています。この記事では、一般のスマホユーザーや家族で旅行を計画している方向けに、予約サイト経由のフィッシング詐欺の実態と、今すぐ実践できる防止策を解説します。
2026年5月、東武ホテル、ホテルグレイスリー、ホテル京阪浅草といった複数のホテルが、Booking.com経由で顧客に届いたフィッシングメッセージについて相次いで注意喚起を行いました。犯行の手口は、まずホテル予約サイトのシステムに不正アクセスし、予約済みの顧客の氏名やメールアドレス、予約番号を入手。その後、まるでホテル側からの正規の連絡のように装い、「支払いが完了していない」「クレジットカード情報の再入力が必要」といったメッセージを送りつけます。メッセージ内のリンクをクリックすると、本物そっくりの偽の予約管理ページが表示され、カード番号やセキュリティコードを入力させられます。これがフィッシング詐欺です。
この種の詐欺は、予約サイトそのものが乗っ取られなくても、宿泊施設側のアカウントが乗っ取られることで発生します。Booking.comだけでなく、楽天トラベルやじゃらん、Expediaなど、あらゆる予約プラットフォームで同様の手口が報告されています。重要なのは、予約サイトやホテルは絶対にメールやSMSのリンクからカード情報を再入力させることはないという点です。正規の手続きは、必ず予約サイトの公式アプリや公式サイト内の管理画面から行うようになっています。
では、どのように見分けて防げば良いのでしょうか。まず、受信したメッセージの送信元アドレスを確認してください。本物のホテル連絡は、公式ドメイン(例:@booking.comや@hilton.com)から届きますが、偽物は「@booklng.com」など、一文字違いの似せたドメインを使うことが多いです。また、メッセージ内に「緊急」「今すぐ」「24時間以内」など行動を急かす文言がある場合は要注意です。正規の連絡では、通常、個別のクレジットカード情報の入力を求めたり、期限を切って支払いを迫ったりしません。
さらに、リンクをクリックする前にURLを長押ししてプレビューを確認しましょう。偽サイトのURLは「booking.com-payment.info」のように、本物のドメインの前にハイフンや不要な単語が入っていることが典型的です。怪しいと感じたら、リンクをタップせずに、普段使っている予約サイトの公式アプリを開いて予約状況を確認してください。アプリ内で「支払いが必要」という表示がなければ、それは詐欺メッセージです。
今すぐできる対策として、まず予約サイトのアカウントに二段階認証(2FA)を設定することをおすすめします。これにより、万が一パスワードが漏れても、第三者がログインするのを防げます。また、予約後はホテルからの連絡をすべて信用せず、公式の問い合わせ窓口に電話して確認する習慣をつけると安心です。クレジットカードの利用明細は定期的にチェックし、身に覚えのない請求があればすぐにカード会社に連絡しましょう。
このように、予約サイト経由のフィッシング詐欺は、多くの人が自分ごととして考えるべき脅威です。旅行の楽しみを台無しにしないためにも、今日から「リンクを安易にクリックしない」「公式アプリで確認する」「二段階認証を設定する」の3つを習慣にしてください。あなたの大切な個人情報と財産を守るために、今すぐ行動を始めましょう。
