世界最大級の旅行予約サイト「Booking.com」(ブッキング・ドットコム)経由の予約情報が流出し、国内のホテルを装った不審なメッセージが大勢の客に届いている問題で、Booking.comの日本法人「ブッキング・ドットコム・ジャパン」の大畑智美広報部長がJ-CASTニュースの取材に応じ、「Booking.comからは一切、予約情報は流出していない」と強調した。また、この問題で客に注意を告知しているホテルグループが10件を超えたことを明らかにした。
提供する「管理画面」の管理や安全対策はホテル側の担当範囲と主張
不審なメッセージは2026年5月のゴールデンウイークから急増したとみられ、悪質なフィッシングサイト(詐欺サイト)への誘導をはかるURLリンクがついている。J-CASTニュースは、アパホテル、東武ホテル、ワシントンホテルなどを展開する「WHGホテルズ」、「ホテル京阪 浅草」のケースを5月19日に初めて報道したが、注意喚起をしているホテルがさらに増加したことになる。
Booking.comはオランダに本社を置き、大畑氏は日本法人の幹部。取材は5月22日に行った。大畑氏はJ-CASTニュースの報道について「弊社からは、予約情報が流出した形跡は一切ない」と主張した。説明によると、Booking.comと提携するホテルには「外付けのホームページのような『管理画面』があてがわれている」が、この「管理画面」のパスワード管理や安全対策はホテル側の担当範囲だという。
「弊社のバックシステムへの犯罪者のアクセスの形跡は一切ない」
大畑氏によると、Booking.com は「デジタルプラットフォーマー」として常時、フィッシングなど不正な動きを「パトロールしている」。欧米で2026年4月に注目されたのは「犯罪者のような人たちに、普通とは違う動きが見られたので、早めにプロテクト(保護)した」からだと語った。このときは一部の予約のPIN(暗証)を強制的に変更し、客本人とホテルにメールなどで注意喚起の通知をした。
一方、5月から日本国内で不審なメッセージやメールが続出している事態について「4月の動きとはパターンが違う」との見方を示し、「弊社のバックシステムへの犯罪者のアクセスの形跡は一切ない」と、同社からの情報流出を重ねて全面否定した。
記者は2025年秋にBooking.com経由でアパホテルを予約し、2026年4月13日にPIN(暗証)変更のメール通知を受け取った。ところが5月2日になって、ホテルの担当者を装う不審なメッセージがスマホの通信通話アプリWhatsApp に届いた。少なくとも氏名、宿泊予定日、予約番号、携帯電話番号の流出がうたがわれた。続いて5月12日にも、アプリ「Googleメッセージ」に2件目の不審なメッセージが届いた。