弊社において利用しているBooking.com社が提供する宿泊予約情報管理システム(以下、管理システム)が不正アクセスを受け、一部のお客様に対してフィッシングサイトへ誘導するメッセージが配信された件につきまして、お客様には多大なご迷惑およびご心配をおかけしておりますこと、深くお詫び申し上げます。
2023年6月12日に公表いたしました「【重要なお知らせ】Booking.com からの不正メールについて」につきまして、その後の調査により判明しました事実につきまして、以下のとおりご報告いたします。
6/12付けお知らせ
https://mimaruhotels.com/jp/news/bookingcom/
1.事象の経緯
2023年6月10日、「MIMARU SUITES 東京浅草」の宿泊をBooking.com社を通じて予約された一部のお客様に対して、弊社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信されていたことが確認されました。また、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性があります。
その後、弊社から上記のメッセージが配信されたお客様へ注意喚起のメッセージを配信し、また、MIMARU全施設においてID・ログインパスワードの変更およびパソコンのセキュリティチェックを行っております。
なお、他施設並びにBooking.com本体システムにおいては不正アクセスがなかったことを確認しております。
2.事象の内容
(1) 対象のお客様
2022年8月30日~2023年6月10日までにBooking.com社経由で「MIMARU SUITES 東京浅草」の予約を行ったお客様
(2) 漏えいした可能性がある個人情報の件数
Booking.com社の管理システムに保存されている「MIMARU SUITES 東京浅草」を予約したお客様の個人情報 1,001件
※Booking.com社の管理システムの仕様は、お客様の個人情報の一覧での抽出はできず、1件ごとの閲覧が可能なものです。
(3) 漏えいした可能性があるお客さまの個人情報
氏名/電話番号/メールアドレス/国籍
※クレジットカード情報および金融機関口座情報などの決済関連情報は含まれておりません。
(4) 原因
専門会社にて原因調査を行った結果、管理システムへの不正アクセスを受けた原因は、システムの管理を行う「MIMARU SUITES 東京浅草」の端末1台が2023年6月6日にマルウェア感染したことにあると判断しております。
(5) 二次被害又はそのおそれの有無及び内容
一部のお客様が配信メッセージに記載されたフィッシングサイトに対しクレジットカード情報の提供を行い、また、金銭的被害を受けていることを確認しております。
3.お客様へのお願い
お客様におかれましては、疑わしいメッセージの配信を受けた場合、貼付されたURLリンクへのアクセスをされないようお願い申し上げます。心当たりの無い内容の場合はBooking.com社または下記弊社窓口へお問合せください。
本件に関するお問い合わせは、以下の窓口からお願いいたします。
【「MIMARU SUITES 東京浅草」のご宿泊・予約のお客様窓口】
MIMARU SUITES 東京浅草
suites.tokyo-asakusa@chm.cigr.co.jp
【その他・メディア窓口】
pr-info@chm.cigr.co.jp
4.今後の対応と再発防止策
調査結果及び関係機関等からの指摘を踏まえ、セキュリティ対策ツールの追加導入や従業員に対する教育等、対策の強化を行ってまいります。
お客様には多大なご迷惑およびご心配をおかけしておりますこと、深くお詫び申し上げます。
以上
※「フィッシングサイト」とは、不正な手法を用いて個人情報やクレジットカード番号等を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。なお、本件では弊社ではない悪意の第三者宛にデポジット等の名目で金銭の振り込みを促す内容も記載されております。