呉竹荘で3,400人の顧客情報漏えい　宿泊予約システムへの不正アクセスでフィッシング攻撃も発生

2025年9月12日、株式会社呉竹荘から衝撃的な発表がありました。同社が運営する2つのホテルの宿泊予約情報管理システムに悪意のある第三者から不正アクセスがあり、約3,400人の顧客情報が漏えいした可能性があることが判明したのです。

この事件は単純な情報漏えいに留まらず、攻撃者が顧客に対してフィッシングメールを送信するという、典型的な二段階攻撃の手法が使われていることが特に深刻です。

事件の詳細と攻撃の流れ

今回の事件は9月9日午前3時頃に発覚しました。顧客から「Kuretake Inn & Hotels & Apartments – 予約情報」というタイトルで、予約の確認を求める不審なメッセージが送られてきたという連絡があったのがきっかけでした。

調査の結果、9月2日に宿泊予約情報管理システムに不正アクセスが行われ、以下の情報が漏えいした可能性があることが判明しています：

対象となったのは「くれたけイン大阪御堂筋本町」「京乃宿清水五条呉竹荘」に2025年9月2日から2027年9月2日の期間で宿泊予約をしていた約3,400人の顧客です。

現役CSIRTとして数多くのサイバー攻撃を分析してきた経験から言えば、今回の事件には現代的な攻撃手法の特徴が複数見られます。

攻撃者はまず宿泊予約情報管理システムに不正アクセスを行い、顧客の個人情報を窃取しました。このようなWebアプリケーションへの攻撃は、脆弱性を突いた攻撃やブルートフォース攻撃、SQLインジェクションなど様々な手法が考えられます。

単に情報を盗むだけでなく、窃取した顧客のメールアドレスを使ってフィッシングメールを送信している点が特に悪質です。これは「なりすまし型フィッシング攻撃」と呼ばれる手法で、顧客が普段利用している宿泊サービスからのメールに見せかけることで、被害者の警戒心を下げる効果があります。

このような事件に巻き込まれた時、個人としてできる防御策があります。

今回のような予約確認を装ったメールが届いた場合は、以下の点をチェックしましょう：

個人レベルでできる最も効果的な対策の一つが、信頼できるアンチウイルスソフトを導入することです。現代のセキュリティソフトは、フィッシングサイトへのアクセスをブロックする機能や、不審なメールを検知する機能が搭載されています。

外出先でホテルの予約システムにアクセスする際は、VPN を使用することで通信内容を暗号化し、中間者攻撃などのリスクを軽減できます。

今回の呉竹荘の事件から、企業が学ぶべき重要な教訓があります。

宿泊予約システムのような顧客の個人情報を扱うWebアプリケーションは、定期的な脆弱性診断が不可欠です。Webサイト脆弱性診断サービスを活用することで、攻撃者に狙われる前にセキュリティホールを発見し、修正することができます。

システムへの不正アクセスを完全に防ぐことは困難ですが、侵入された場合の被害を最小限に抑える仕組みが重要です。例えば：

呉竹荘は顧客からの連絡で事件が発覚したとありますが、これは決して理想的とは言えません。セキュリティ監視体制が十分であれば、もっと早期に異常を検知できた可能性があります。

呉竹荘は事件後、以下の対策を実施すると発表しています：

これらは適切な対応ですが、事件が起きてからの対策では遅すぎます。重要なのは、事前の対策と継続的な監視体制の構築です。

今回の呉竹荘の事件は、現代のサイバー攻撃の巧妙さと、その影響の深刻さを改めて示しています。企業だけでなく、個人レベルでも適切なセキュリティ対策を講じることが、このような被害を最小限に抑える鍵となります。

特に、個人情報を扱う企業は、顧客の信頼を守るためにも、より一層のセキュリティ投資が求められるでしょう。そして我々個人も、不審なメールやリンクに対する警戒心を持ち続け、適切なセキュリティツールを活用することが大切です。