データ侵害

ホテルの宿泊客データ漏洩、500万人の個人情報が流出

2026年4月16日4分で読めます

By Lina Petrov — 8 years reviewing consumer technology

ホテル宿泊客のデータがリアルタイムでTelegramに流出

Cybernewsのセキュリティ研究者が、複数の国のホテル宿泊客を標的とした大規模なデータ窃取作戦を発見した。この攻撃により、ホスピタリティ管理プラットフォーム上の500以上のアカウントが侵害され、世界中の約500万人の旅行者の個人情報が露出した。この漏洩が特に深刻なのは、その規模だけでなく、データの配布方法にある。盗まれたデータは、保護されていないサーバーに保存されると同時に、Telegramチャンネルを通じてリアルタイムで流出していたのだ。

標的となったプラットフォームは、スペインに拠点を置くChekinとオーストリアに拠点を置くGastrodatで、いずれもホテルや物件管理会社がゲストのチェックインや管理データを処理するために使用している。ハッカーは自動スクリプトを使用して、侵害されたアカウントから宿泊客の氏名、メールアドレス、電話番号、政府発行のID情報を組織的に収集した。

攻撃の手口

この作戦は、一つのプラットフォームへの単一の壊滅的な侵害ではなく、認証情報の窃取に依存していた。500以上の個別の物件管理アカウントへのアクセスを獲得することで、攻撃者は自動化ツールを使ってそれぞれのアカウントから宿泊客データを抽出することができた。この種の攻撃は、クレデンシャルスタッフィングまたはアカウント乗っ取りと呼ばれることがあり、盗まれた、もしくは脆弱なログイン認証情報を使って正規のシステムにアクセスするものだ。

一度侵入すると、スクリプトはアカウントに含まれるあらゆる個人データを収集した。それには、ホテルにチェックインする際に提供が求められる情報、すなわち正式な氏名、連絡先情報、身分証明書類が含まれていた。こうしたデータの組み合わせは、なりすまし、フィッシングキャンペーン、SIMスワッピング、その他の詐欺行為に悪用できるため、犯罪者にとって特に価値が高い。

盗んだデータを従来のダークウェブのマーケットプレイスで売るのではなく、Telegramを通じて配布するという選択は、サイバー犯罪者の活動方法における広範な変化を反映している。Telegramは、使いやすさと比較的緩やかなコンテンツモデレーションにより、流出データの配布チャンネルとして急速に普及している。

あなたへの影響

これまでにChekinやGastrodatをゲスト管理に使用しているホテルに宿泊したことがある場合、あなたの個人情報がこのデータセットに含まれている可能性がある。直接影響を受けていない場合でも、このインシデントは旅行者が直面するより広範な脆弱性を示している。ホテルにチェックインする際、あなたは敏感な個人データを提供するが、そのデータがどのように保存され、誰がアクセスできるか、あるいはそのシステムがどれほど安全に管理されているかについて、ほとんど把握できないのだ。

ここで流出したデータは、単純なメールアドレスとパスワードの組み合わせにとどまらない。政府発行のID情報と氏名、電話番号、メールアドレスを組み合わせれば、悪意ある者があなたになりすましたり、あなたの名義でアカウントを開設したり、あなた個人に向けた巧妙なフィッシングメッセージを作成したりするのに十分な情報となる。

ホテルや物件管理プラットフォームが格好の標的となるのは、まさに多数の人々から豊富な個人データを収集しながら、金融機関や大手テクノロジー企業と比べてセキュリティインフラが十分でないことが多いためだ。

被害を軽減するための対策

一度ビジネスにデータを提供した後、そのデータに何が起きるかを常にコントロールすることはできないが、問題が発生した際の被害を抑えるための対策を取ることはできる。

アカウントと個人情報を監視する。 頻繁に旅行する場合は、個人情報が既知のデータ漏洩やオープンウェブ上に現れた際に警告を受け取るIDモニタリングサービスの利用を検討しよう。

旅行予約には専用のメールアドレスを使用する。 エイリアスメールアドレスを作成できるサービスを使えば、一つのアカウントが侵害されても、被害の範囲を限定することができる。

不審な連絡には注意を払う。 最近のホテル滞在に言及するメール、SMS、または電話を受けた場合は、慎重に対応しよう。攻撃者はこうした詳細を利用してフィッシング攻撃をより信ぴょう性のあるものに見せかける。

旅行中はデバイスと接続を保護する。 ホテルや空港の公共ネットワークは、データ傍受の一般的な入口となっている。公共のWiFiに接続する際にVPNを使用することで、通信が暗号化され、活動が監視・傍受されるリスクが軽減される。

プラットフォームが保有するあなたのデータを確認する。 特に欧州連合内など多くの国では、企業が保有する個人データの開示を求め、削除を要請する権利がある。ChekinやGastrodatのようなプラットフォームを使用している施設に宿泊したことがある場合は、それらのプラットフォームに直接連絡することができる。

この漏洩は、あなたの個人データがあなたとともに移動していること、しかも多くの場合、あなたが見たりコントロールしたりできない形で移動していることを改めて思い知らせてくれる。自分の情報がどこへ渡るかについて常に情報を持ち、被害を最小限に抑えるための実践的な対策を講じることが、現時点で一般の旅行者が取れる最も効果的な防衛手段だ。

// よくある質問

このデータ漏洩によって何人が影響を受けたのですか？

この漏洩により、世界中の約500万人の旅行者の個人情報が流出し、ホスピタリティ管理プラットフォーム上の500以上のアカウントが侵害されました。

今回の攻撃ではどのプラットフォームが標的となりましたか？

標的となったプラットフォームは、スペインに拠点を置くChekinとオーストリアに拠点を置くGastrodatで、いずれもホテルや物件管理会社がゲストのチェックインや管理データを処理するために使用しています。

どのような個人情報が盗まれましたか？

ハッカーは、侵害されたアカウントから宿泊客の氏名、メールアドレス、電話番号、政府発行のID情報を収集しました。

盗まれたデータはどのように配布されていましたか？

盗まれたデータは、保護されていないサーバーに保存されると同時に、Telegramチャンネルを通じてリアルタイムで流出していました。

攻撃者はどのようにしてホテル管理アカウントにアクセスしたのですか？

攻撃者はクレデンシャルスタッフィングまたはアカウント乗っ取りの手法を使用し、盗まれた、もしくは脆弱なログイン認証情報を悪用して、自動スクリプトにより500以上の個別の物件管理アカウントにアクセスしました。

ホテル宿泊客のデータがリアルタイムでTelegramに流出

攻撃の手口

あなたへの影響

被害を軽減するための対策

// よくある質問

// 関連記事