エクスペディアは、名前、電話番号、メールアドレス、予約情報への「不正アクセス」についてユーザーに警告している。
ボブ・サリバン著
Expedia.comの顧客の中には、この旅行大手から、犯罪者予備軍が「あなたの名前、電話番号、メールアドレス、旅行予約に不正アクセスした」という警告のメールを受け取っている者もいる。
同社によれば、これらの詳細情報は、顧客を騙してさらに多くの個人情報を提供させようとする目的で使用されているという。
私は情報源からそのメールのコピーを入手しました。
メールには「クレジットカード情報は漏洩していませんのでご注意ください」と記載されています。この警告は、Expediaから何らかの方法で入手したと思われる情報が、何者かによって使用され、消費者を騙して支払い情報を漏洩させようとしていることを受信者に伝えています。
そして、受信者に対して、メッセージ内のリンクをクリックしたり、「個人情報やクレジットカード情報の要求に応じたりしないでください。この電子メールやSMSメッセージに記載されている銀行口座に送金しないでください」と強く勧めています。
Expedia は私に対してその警告の信憑性を確認しました。
「当社のサイトで予約した一部の消費者に対し、当社または予約したホテルを名乗る人物から詐欺的な連絡があったことを認識しています」と、エクスペディアの広報担当者イングリッド・ベロブラディッチ氏は述べた。「このフィッシング詐欺事件については徹底的に調査しており、影響を受けた顧客には、必要な適切な措置について通知またはアドバイスを行っております」
そもそも、フィッシングメールを送信するために、犯人がどのようにしてユーザーの個人情報を入手したのかは不明です。Expediaはこれ以上の詳細を提供しておらず、攻撃者がどのようにしてユーザーの連絡先情報や予約情報にアクセスしたのかという具体的な質問にも回答しませんでした。
2015年6月24日午後2時更新:エクスペディアの広報責任者サラ・ギャビン氏によると、データはエクスペディアから盗まれたのではなく、第三者によって盗まれたとのことです。データは、提携ホテルへのフィッシング攻撃に成功し、そのホテルのログイン情報を入手した犯罪者によって盗まれました。その後、エクスペディアのシステムを利用して最近そのホテルの宿泊予約をした消費者の氏名などの情報が盗まれました。盗難対象は当該ホテルを予約した消費者に限定されており、ギャビン氏はその具体的な人物名は明かしませんでした。
ベルビューに拠点を置くエクスペディアの代表者はここ数日、フィッシング詐欺に関する警告をツイッターでいくつか発しているが、それらのツイートが今回の警告と関連しているかどうかは不明だ。
「@Expediaさん、こんにちは。どうやらあなた方から奇妙な自動メッセージが届いたようです。クレジットカード情報を尋ねる詐欺のようです」と、ある消費者が4日前に投稿しました。Expediaはこれに対し、「フィッシング詐欺の電話に遭われたとのこと、大変申し訳ございません」と返信しました。
別のやり取りでは、最近旅行を予約したユーザーに、最近の予約に使用できる現金を獲得したと伝えられました。
「たった今、旅行代金2600ドルが当たるという電話を受けました。リゾートにチェックインするには有効なクレジットカードが必要です。この件についてお知らせしたく、ご連絡しました。詐欺ですか?」とユーザーは投稿しました。Expediaの回答は「カナダとアメリカの住民を狙ったフィッシング詐欺です。弊社の情報セキュリティチームによると、データは一切ありません…」でした。ツイートはここで中断されています。
Expediaのような大手旅行サイトがメール詐欺の標的になったのは、決して今回が初めてではありません。しかし、消費者の携帯電話番号や個人メールアドレスに送られてきた最近の予約情報といった本物の個人情報が利用されていることから、フィッシング行為はより現実的で、スピアフィッシング攻撃に近いものとなっています。
エクスペディアはサービスのセキュリティ向上に継続的に取り組んでいると述べた。
「セキュリティ対策強化のため、ホテルパートナーと連携し、多要素認証プロセスを導入しました。また、パートナーの皆様には、こうした不正行為の深刻さと重要性をより深くご理解いただくため、様々な教育ツールを配布しました」とベロブラディッチ氏は述べています。「当社のセキュリティチームは、このような状況への対応に常に努めており、常にウェブサイトのセキュリティを可能な限り高めることに注力しています。この件でご不便をおかけしましたことを心よりお詫び申し上げます。」
