宿泊事業を狙うメール攻撃

攻撃者は、宿泊施設の従業員を標的としてメールによるフィッシング攻撃を行っています。

2023年の夏頃から当社は、宿泊施設の経営者と従業員が、以前宿泊したことのある顧客や予約を考えている顧客からの連絡を装った悪意ある電子メールを確認しています。場合によっては、標的となった宿泊施設が一般に公開しているメールアドレスに送信され、迷惑メールなどに振り分けられず、通常のメールとして受信します。また、ユーザーからのコメントに関するBooking.comから直接送信されたとみられる自動メールの場合もあります。これらのメールは実際には攻撃者からのもので、宿泊施設側のログイン情報を入手するか、またはシステム全体をマルウェアに感染させることを目的としています。

攻撃の特徴

組織を標的にする場合、攻撃者は通常、業務に関係があると思わせ、警戒心を希薄にさせる内容のメールを作成し、送り付けます。そのため宿泊施設の場合、メールの内容を考えるのは比較的簡単です。一般に公開されているメールアドレスを使用する従業員にとって、突然の顧客からの問い合わせに対応することは、通常の仕事です。宿泊施設にとって口コミや評判は非常に重要です。そのため、従業員はできるだけ早く問題を解決したり、顧客からのリクエストに応えようとして、メール内のリンクをクリックしたり、添付ファイルを開くなどして、サイバー犯罪の手口に引っかかってしまう傾向があります。要するに、この脅威は「顧客重視の攻撃」と言えるでしょう。

この脅威を特定する難しさに拍車をかけているのは、攻撃者が特定のビジネスを装ったドメインを使用するメールアドレスを作成する必要がないという点です。宿泊施設側は日常的に、無料のメールサービスを使う宿泊客からの問い合わせや苦情を受信しています。そのため、攻撃者も普段誰もが使用するGmailなどを使用しています。

メールの内容

一般的には、宿泊客からのクレーム、または宿泊に関する問い合わせのどちらかです。最初のケースでは、宿泊施設の従業員は「不満のある宿泊客」からメールを受け取ります。内容は、スタッフの対応の悪さ、クレジットカードの二重請求、そして部屋の清潔さなどに関してです。内容を裏付けるために、攻撃者は、ビデオ、写真、銀行の明細などの証拠を提示することもあります。

ホテル滞在に関する苦情の例

また2024年初めになり、攻撃者の手口に変化が見られました。クレームの代わりに、人気のオンライン宿泊予約プラットフォームであるBooking.com(ブッキングドットコム)からの通知を装ったメールを送り始めたのです。要は、誰かが同プラットフォームに否定的なレビューを残しており、スタッフが緊急に対応する必要がある、というものです。これは全く別の詐欺のように思えるかもしれないが、攻撃の目的とメールの技術的ヘッダー(メーリングエンジンに光を当てる)は、これらのメールが同じ攻撃キャンペーンの一部であることを示しています。

Booking.comからの通知を模倣したメール

攻撃者は予約を考えている顧客を装って、宿泊施設のサービスや料金に関する情報を要求します。このようなメールの件名や内容は様々です。送迎や食事、料金に関する一般的な質問の他にも、攻撃者は、子ども用の遊び場、リモートワークができるような静かなスペース、歴史的または文化的に特別な意味を持つ部屋の有無などについて問い合わせることもあります。

当社が海外で確認したフィッシングメールの件名とメールの内容の例をご紹介します。これらは、宿泊施設の予約窓口に送られてきた実際のメールを日本語に翻訳したものです。

  • 件名:遊園地一日券の支払いについて
    本文:チェックイン日から数週間以内に予約をキャンセルした場合どうなりますか?
  • 件名:予約について教えてください
    本文:はじめまして!万が一、持ち物を紛失した場合、滞在中どのように探せばよいでしょうか?
  • 件名:予約に関する問い合わせ
    本文:こんにちは!部屋にミニバーはありますか?
  • 件名:ダブルルームをオンラインで簡単に予約する方法
    本文:通常のチェックイン時間外に到着した場合はどうなりますか?
  • 件名:高級ホテルの客室確保:細部へのこだわり
    本文:こんにちは、御社のホテルに宿泊することに興味があるのですが、支払い方法についていくつか質問があります。お手伝いいただけますか?
  • 件名:お部屋の生花と観葉植物
    本文: 部屋の生花と植物客室に生花や植物をリクエストできるオプションはありますか?
  • 件名:ランドリーサービスについて
    本文:サービス内容や料金など、ホテルのランドリー施設について教えてください。
  • 件名:ペットフレンドリーファミリールームの予約リクエスト
    内容:私たちとペットは宿泊することを楽しみにしています。ペット同伴可能な部屋を用意していただけますか?ペット用アメニティの情報もいただけると助かります。
  • 件名:持続可能なエネルギー源のある部屋の問い合わせ
    本文:滞在中、環境に優しい生活をサポートするため、持続可能なエネルギー源を使用した客室を希望しています。
  • 件名:ワインテイスティングツアー予約について
    本文: 近くのブドウ園やワイナリーでのワインテイスティングツアーを手配してもらえますか?
  • 件名:ビジネス客のための客室専用ワークスペースの問い合わせ。
    本文:リモートワークが必要なゲストのために、客室に仕事ができる机はありますか?

注 - これらは攻撃者が実際に使用したメールの例です。

このような問い合わせは、どんな宿泊施設でも普段から受けるものです。しかし一方で、メールの件名と本文はつじつまが合わない内容のものもあります。送信者があらかじめ編集されたデータベースから無作為の順序で取り出したかのように。

偽の顧客と複数回に渡るやりとり

攻撃者は、標的型攻撃でよく使われる手法を使用し、1通目や2通目のメールで悪意のあるリンクを送らない場合もあります。被害者の警戒心を和らげるために、一見何の変哲もない通常のメールでやり取りを始め、宿泊施設に関して質問をします。

例えば、最初のメールで、宿泊を考えている顧客を装った攻撃者が、妻へのサプライズを計画していると話します。宿泊施設側からの返信では、宿泊日がいつか、どのようなサプライズを考えているのかなどを訪ねます。次に、攻撃者は悪意のあるファイルをダウンロードするリンクを含むメールで送信します。このファイルには、客室に特別な雰囲気を演出するための詳細な指示が書かれており、協力してくれれば、従業員に対して多額の報酬を支払うとしています。

メールのやり取りの例

最終目的

サイバー犯罪者の目的は、これらのすべてのケースにおいて、認証情報を入手することです。ユーザー名とパスワードのデータベースはダークウェブ上で高い需要があり、他の詐欺に使われたり、単に売買されたりします。2023年末、Booking.comから漏えいした宿泊施設のアカウントが、顧客から支払い情報をだまし取るために利用されているという記事を公開しました。今回の攻撃者の最終目的は、同様のスキームを実行することである可能性が高いでしょう。

上述のとおり、サイバー犯罪者は被害者をフィッシングサイトに誘い込むか、マルウェアに感染させようとします。その手口について詳しくお話ししましょう。

マルウェア感染

攻撃者は主に、正規のファイル共有サービスに保存されている悪意のあるコンテンツを含むファイルへのリンクを使用します。あまり一般的ではありませんが、短縮URLなど、さまざまな方法で悪意のあるリンクを隠そうとしています。このようなリンクは、メールの本文に記載されることもあれば、PDF文書などの添付ファイルに記載されることもあります。場合によっては、悪意のあるコンテンツを含むファイル(感染したMicrosoft Word文書など)が直接添付ファイルとして送信されることもあります。

被害者がリンクをたどってファイルをダウンロードしたり、添付ファイルを開いたりすると、被害者のデバイス上にさまざまなマルウェアが表示される可能性があり、その中には通常、パスワードを盗むものも含まれています。私たちは過去、XWormバックドアRedLineスティーラーのような脅威に遭遇しました。

フィッシングメール

フィッシングリンクから、Booking.comのログイン画面を模倣したページに誘導されるケースがあります。また、フィッシングページが企業の認証情報を入力するフォームのように見えることもあります。攻撃者がこれらを使って企業のEメールアカウントにアクセスすることに成功すると、関連するBooking.comのアカウントを乗っ取ったり、宿泊施設の経営者になりすまして顧客に連絡したりと、様々な問題が発生します。

攻撃から身を守るには

宿泊施設の従業員をこのような詐欺の被害から守り、ビジネスを保護するために、以下のことを推奨します。

  • 従業員に対して定期的なセキュリティ意識向上トレーニングを実施します。これにより、サイバー犯罪者のソーシャルエンジニアリング手法を早期に発見するための知識を身につけることができます。例えば、Booking.comのメール詐欺の場合、これは肉眼でも気づける注意点があります。例えばBooking.comのような世界的にも広く使用されているサービスが、無料のメールアドレスから顧客に通知を送ることは一切ありません。またログインページを模倣したWebサイトのドメインに注意してみてください。実在するサービスとは全く関係のないサードパーティのドメインでホストされている可能性があります。
  • Eメールゲートウェイレベルで保護を導入します。従業員が詐欺師から厄介なメールを受信することはあっても、フィッシングや悪意のあるリンク、危険な添付ファイルが受信トレイに届くことはありません。
  • 業務で使用するすべてのデバイスに、フィッシング対策技術を備えた堅牢なセキュリティソリューションを導入します。
  • 当社のブログを読み、メールの脅威について常に最新の情報を得るようにしましょう。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?

新着記事をメールでお知らせします