国内で100以上のホテルを運営するポラリス・ホールディングス株式会社が、世界最大級の宿泊予約サイト「Booking.com」(ブッキング・ドットコム)と同社を結ぶシステムの「グループアカウント」に不正アクセスを受け、ホテルの資金を扱う銀行口座情報を改ざんされ、約900万円の被害が出ていたことが明らかになった。口座改ざんと同じ時期に、宿泊予約客に対するフィッシング詐欺目的の不審メッセージも確認されたという。
「グループアカウント」における異常を検知
Booking.com経由の予約情報流出とホテルを装った不審メッセージの問題では、これまでにJ-CASTニュースの調べで、帝国ホテル、ホテルオークラ神戸、ホテルニューオータニ大阪、京王プラザホテル、アパホテル、藤田観光系のWHGホテルズ、東武ホテル、ホテル京阪など多くの宿泊施設で事例が判明している。
ポラリス社が900万円の被害についての告知を公式サイトに掲載したのは2026年5月28日。それによると、同年5月23日に、Booking.comのシステム上の同社の「グループアカウント」における異常を検知したという。調査の結果、傘下の複数のホテルの売上金の口座情報が改ざんされていたことが発覚。そのうち一つのホテルからは、資金の一部が不正な口座に振り込まれ、「現時点で約900万円の損失が発生している」という。同社は取材に対し、調査中であることを理由に改ざんの時期や不正アクセスの手口は明らかにしていない。
予約客に詐欺目的のメッセージが送信されている
一方、この900万円被害と同時期に、個々のホテルがBooking.comのシステムで予約情報を扱う「管理画面」も不正アクセスを受けた可能性があるといい、予約客にフィッシング詐欺目的のメッセージが送信されているという。
Booking.comが提携ホテル側に提供するシステムで、「グループアカウント」と「管理画面」は密接な関係にある。いわば親子のように、複数のホテルを運営する本社が「グループアカウント」によって、各ホテルの「管理画面」をひとくくりに統括管理する仕組みとみられている。