コロナ禍から回復中の観光業を標的としたサイバー脅威に対する注意喚起

新型コロナウイルス感染症による行動制限も緩和され、国内外への旅行を計画している方も多いのではないでしょうか。海外から日本国内への旅行者、いわゆるインバウンドも増加しており、都内や観光地でも海外からの旅行者を多く見るようになりました。ホテルやアミューズメント施設などの観光業はコロナ禍のダメージから回復しつつあるように見えます。

こうした観光業を狙ったサイバー攻撃が2023年の夏ごろから増加しています。ラックのサイバー救急センターでも複数のお客様から被害の相談を受けています。攻撃の手口については既に明らかにされているものですが、攻撃は今なお進行中であり、被害に遭う企業も増えているようです。

本記事では、2023年夏ごろから増加している観光業を狙ったサイバー攻撃の手口について、改めて観光業の関係者に対して注意喚起を行います。その手口は観光業の従業員のホスピタリティ（おもてなしの心）を逆手に取った悪質なものです。

従業員のホスピタリティを逆手に取った攻撃の手口

ホテル予約担当者様
先日、宿泊の予約をさせていただいた者です。娘の誕生日のため、素敵な休暇を過ごすことを楽しみにしております。娘は特定の果物や野菜、そして特定の美容製品にアレルギーがありますので、その点にご配慮いただけますと幸いです。アレルギー情報や特別な要望に関する詳細をまとめましたので、以下のURLよりダウンロードしご確認お願い申し上げます。

これは、ホテルの予約窓口に実際に送られた英文のメッセージを翻訳し、要約したものです。サイバー救急センターではこの他にもいくつかのバリエーションが存在することを確認しています。

攻撃者はいきなりマルウェアを送るのではなく、メールでのやり取りを行った後に、マルウェアをダウンロードするURLを送ってきているようです。典型的な標的型攻撃メールの手口ですが、「宿泊客に安全にホテルを利用してほしい」というホテル従業員のホスピタリティを逆手にとった文面となっています。

メールに記載されたURLは、Google Driveなどのクラウドストレージに保存された圧縮ファイルへのリンクとなっています。圧縮ファイルを解凍すると、無害な写真や動画などに混じって実行形式のファイルが展開されます。この実行形式のファイルがマルウェアの本体となっています。

このマルウェアは、アカウント情報などを窃取する情報窃取型のマルウェアです。サイバー救急センターでは「Redline」や「DCRAT」、「Vidar」など複数のマルウェアが利用されているのを確認しています。端末がマルウェアに感染すると、Webブラウザのクッキーや閲覧履歴、さらにはブラウザに保存しているWebサイトの認証情報（ユーザIDやパスワード）などの情報をC2サーバ（Command and Control Server）に対して送信します。

情報窃取型マルウェアについては、2022年3月にマルウェアの内部動作ついて解説した記事がありますので、参考にしてください。

実際の被害

マルウェアに感染した端末のWebブラウザに宿泊予約サイトの認証情報が保存されていた場合や、感染後に宿泊予約サイトを使用すると（ログインやパスワード変更など）、認証情報が窃取されてしまいます。

攻撃者は、窃取したアカウント情報を使用して宿泊予約サイトへのログインを試み、ホテル従業員になりすまして宿泊予約サイトにアクセスします。多要素認証についても何らかの方法で突破しているようです。攻撃者は宿泊予約サイトのチャット機能を利用して、宿泊予約者をフィッシングサイトに誘導するメッセージを送ります。宿泊予約者がクレジットカード情報を入力してしまったという相談も受けています。

すなわち、攻撃者はホテル従業員の利用する端末を標的型メール攻撃によりマルウェアに感染させ宿泊予約サイトの認証情報を得たうえで、ホテル従業員になりすまして宿泊予約者をフィッシングサイトに誘導し、クレジットカード情報を不正に入手しているということになります。攻撃者集団の素性については判明していませんが、窃取したクレジットカード情報をアンダーグラウンド市場で売買するなどの方法で金銭を得ることを目的にしているのではないかと予想されます。

対応に追われるホテルの現場

本記事の執筆にあたり、日本国内でホテル経営等をおこなう企業の方にお話をお伺いすることができました。同社でも不審なメールを多く受信しており、情報システム部門が中心となって対応をおこなっているとのことです。

「お客様が安心して施設をご利用いただくのが最優先です。そのためアレルギーなどの確認には慎重に対応する必要があります。従業員に事例を共有し、不審なメールを受信した場合には情報システム部門と連携して対応するように指示しました。当社の場合は定期的に標的型攻撃メール訓練を行っています。また、EDR（Endpoint Detection and Response：PCやスマートフォン、サーバなどの状況を監視し、不審なふるまいの検知や対処を行うソリューション）を導入するなどしてセキュリティ対策の維持向上に努めています。ホテル業界全体でもさらにセキュリティ対策を強化していく必要があります。被害に気付いていないホテルもあるのではないでしょうか」（同社 情報セキュリティ担当者）

ほとんどのホテルが、宿泊施設と利用者を仲介する宿泊予約サイトを利用しています。海外企業が運営している宿泊予約サイトによっては、こうした事案についての問い合わせやセキュリティ対策を求めても対応がなされない場合があるとのことです。

「多くのお客様が、宿泊予約サイトを利用してホテルを比較し予約しています。宿泊予約サイトからの送客は、多くのホテルの経営にとって今や無くてはならないものです。業界全体で事案を共有し、お客様が安全に滞在していただける環境を作っていかなければなりません。」（同社 取締役）

被害を防ぐには

宿泊予約サイトを利用している事業者の方は、被害を防ぐために、以下に挙げるような基本的な対策が出来ているかを今一度確認していただくとともに、追加的なセキュリティ対策についても検討することを推奨します。

システム部門を中心として、必ずやっておきたい対策

• WindowsやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする。資産管理ソフトウェアやMDM（Mobile Device Management）などの製品を導入し、社内のIT資産の状態について把握するようにする。
• ウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する。

システム部門で考慮すべき追加的な対策

• EDR製品を導入し、感染の検知・防御だけでなく、万が一の際に迅速な対応が取れるようにする。自社で運用管理できない場合にはマネージドサービスの導入を検討する。
• 予約管理サイトの管理アカウントが不正利用されるのを防ぐため、ソフトウェアトークンを利用してワンタイムパスワードを生成する所有物認証を活用した、攻撃者にとって回避が難しい多要素認証を導入する。

従業員が攻撃を認知できるように、リテラシーを向上する施策

• マクロやセキュリティに関する警告が表示された場合、安易に「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。
• Windowsの設定で「ファイル名拡張子」の表示を有効にし、二重拡張子に気付けるようにする。
• メール内のリンク（オンラインストレージサービス）からダウンロードされた不審ファイルのサイズが数百MBから数GBの場合には注意する。

従業員による認知が難しく、追加のセキュリティ対策費用も極力かけられない場合にはどうすれば良いでしょうか。「身に覚えのないメールの添付ファイルは開かない」「メール本文中のURLリンクはクリックしない」ということが鉄則ではありますが、巧妙な手口に対して完全に被害の発生を防ぐのは現実的ではありません。そこで考えられるのは、お客様とのやり取りをするPCと業務端末との分離です。たとえば、お客様とのやり取りはすべてスマホやタブレットで行うようにする、などの対策は考慮する価値があるかもしれません。

何よりも重要なのは、観光業を狙ったサイバー攻撃があることを広く従業員に周知し、組織の警戒レベルを上げておくことです。そして観光業の経営者の方は、実際に被害が発生した場合を想定し組織としてどのように指示・行動し、ITベンダーやセキュリティベンダーなどの外部機関と連携するかについて検討しておく必要があります。

最後に、宿泊予約サイトを利用するユーザーとしては、どのようなことに注意すれば良いのでしょうか。

本攻撃についてのフィッシングメッセージは宿泊予約サイトのチャット機能から発信されるため、宿泊予約客にとってはフィッシングメッセージであることを見分けるのが困難です。しかし、クレジットカード情報や認証情報などの重要な情報の入力を求められた際には、メッセージ内のURLからはアクセスせず、正規のURLからのアクセスや宿泊施設に電話等で確認することが対策の一つとなります。