弊社において利用しているBooking.com社が提供する宿泊予約情報管理システム(以下、管理システム)が不正アクセスを受け、一部のお客様に対してフィッシングサイトへ誘導するメッセージが配信された件につきまして、お客様には多大なご迷惑およびご心配をおかけしておりますこと、深くお詫び申し上げます。
2023年9月21日に公表いたしました「【重要なお知らせ】不正アクセスによる個人情報流出の可能性とフィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ」につきまして、その後の調査により判明しました事実につきまして、以下のとおりご報告いたします。
9/21付けお知らせ
https://mimaruhotels.com/news/230921/
1.事象の経緯
2023年9月20日、「MIMARU東京 池袋」の宿泊をBooking.com社を通じて予約された一部のお客様に対して、弊社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信されていたことが確認されました。また、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性があります。
その後、弊社から上記のメッセージが配信されたお客様へ注意喚起のメッセージを配信し、また、MIMARU全施設においてログインパスワードの変更およびパソコンのセキュリティチェックを行っております。
なお、他施設並びにBooking.com本体システムにおいては不正アクセスがなかったことを確認しております。
2.事象の内容
(1) 対象のお客様
2022年9月26日~2023年9月20日までにBooking.com社経由で「MIMARU東京 池袋」の予約を行ったお客様
(2) 漏えいした可能性がある個人情報の件数
Booking.com社の管理システムに保存されている「MIMARU東京 池袋」を予約したお客様の個人情報 3,132件
※Booking.com社の管理システムの仕様は、お客様の個人情報の一覧での抽出はできず、1件ごとの閲覧が可能なものです。
(3) 漏えいした可能性があるお客さまの個人情報
氏名/電話番号/メールアドレス/国籍
※クレジットカード情報および金融機関口座情報などの決済関連情報は含まれておりません。
(4) 原因
専門会社にて原因調査を行った結果、管理システムへの不正アクセスを受けた原因は、システムの管理を行う「MIMARU東京 池袋」の端末2台が2023年9月17日にマルウェア感染したことにあると判断しております。
(5) 二次被害又はそのおそれの有無及び内容
一部のお客様が配信メッセージに記載されたフィッシングサイトに対しクレジットカード情報の提供を行い、また、金銭的被害を受けていることを確認しております。
3.お客様へのお願い
お客様におかれましては、疑わしいメッセージの配信を受けた場合、貼付されたURLリンクへのアクセスをされないようお願い申し上げます。心当たりの無い内容の場合はBooking.com社または下記弊社窓口へお問合せください。
本件に関するお問い合わせは、以下の窓口からお願いいたします。
【「MIMARU東京 池袋」のご宿泊・予約のお客様窓口】
MIMARU東京 池袋
ikebukuro@chm.cigr.co.jp
【その他・メディア窓口】
pr-info@chm.cigr.co.jp
4.今後の対応と再発防止策
調査結果及び関係機関等からの指摘を踏まえ、セキュリティ対策ツールの追加導入や従業員に対する教育等、対策を実施しました。今後も引き続き、さらなる対策の強化を行ってまいります。
お客様には多大なご迷惑およびご心配をおかけしておりますこと、深くお詫び申し上げます。
以上
※「フィッシングサイト」とは、不正な手法を用いて個人情報やクレジットカード番号等を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。