ブッキング・ドットコムで宿を予約したあとに、見覚えのないメッセージが届く。そんな相談が2026年の春から増えています。差出人はホテルを名乗ります。文面には予約番号も宿泊日も書かれています。だからこそ、多くの人が本物だと思い込んでしまいます。
この記事では、ブッキング・ドットコムの予約情報漏洩とされる問題を整理します。いつ起きたのか。どこで報告されたのか。何が流出したとみられるのか。事実を時系列でやさしく解説します。対策の手順ではなく、起きたことそのものを知りたい方へ向けた内容です。
ブッキング・ドットコム予約情報漏洩とは?事案の全体像
まずは全体像をつかみましょう。ブッキング・ドットコムを通じて予約した人に、不審なメッセージが届く事案です。報告が増えたのは2026年の春からでした。何が起きたのか。なぜ漏洩と呼ばれるのか。誰が巻き込まれているのか。順番に見ていきます。
何が起きたのかを一言でいうと
起きていることはシンプルです。ホテルを予約した人のスマホに、ホテルを装ったメッセージが届きます。多くはメッセージアプリ経由です。文面には予約番号が書かれています。宿泊日も正しく記されています。
だから、つい信じてしまいます。本物そっくりの情報を使い、偽のサイトへ誘い込む手口です。誘導先ではカード情報の入力を求められます。そこで入力すると、情報が盗まれます。
「予約情報漏洩」と呼ばれている理由とは?
なぜ「漏洩」という言葉が使われるのでしょうか。理由は、犯人が実在の予約情報を握っているからです。予約番号は、本来は本人とホテルしか知りません。宿泊日も同じです。それが第三者の手に渡っています。
つまり、どこかから予約情報が外へ出たと考えられます。ただし、流出した経路はまだ特定されていません。日本ホテル協会も、漏洩の経緯は判明していないと説明しています。この点はあとで詳しくふれます。
どんな利用者が被害に遭っているのか
対象は、ブッキング・ドットコムでホテルを予約した利用者です。国内の宿に泊まる予定の人が多く含まれます。観光客もビジネス利用者も区別されません。予約した宿の規模も問われません。
大手チェーンの宿泊客にも報告があります。有名ホテルで予約したから安全、とは言い切れない状況です。予約サイトを使った人なら、誰でも対象になり得ます。
いつから被害が起きたのか?発生時期と経緯
次に、時間の流れを確認します。この問題はいつ始まったのでしょうか。きっかけは2026年の大型連休でした。そこから関係機関が動くまで、日付を追って整理します。過去に起きた似た事案との関係にも、あわせて触れていきます。
2026年ゴールデンウィーク頃からの急増
報告が増えたのは2026年5月です。ゴールデンウィークの時期と重なります。この頃から、宿泊客への不審メッセージが目立ち始めました。多くのホテルが、相次いで異変に気づきます。
5月から6月上旬にかけて、注意を呼びかける宿が増えました。少なくとも40を超えるホテルやグループが、公式サイトで告知を出しています。短い期間で一気に広がった点が特徴です。
5月から6月にかけての主な出来事
動きが集中したのは2026年5月から6月です。企業の公表、業界団体の声明、行政の調査が続きました。流れを表にまとめます。
| 日付 | 出来事 |
|---|---|
| 2026年5月頃 | ゴールデンウィーク前後から不審メッセージが多発 |
| 2026年5月28日 | ポラリス・ホールディングスが約900万円の損失を公表 |
| 2026年6月8日 | 観光庁が事実確認の調査を開始 |
| 2026年6月12日 | 日本ホテル協会が利用者へ注意喚起 |
| 2026年6月16日 | 日本ホテル協会の専務理事が現状を説明 |
表を見ると、1カ月ほどで事態が動いたとわかります。5月に被害が表面化し、6月に公的な対応が本格化しました。それでも、原因の説明はまだ十分ではないとされています。
2023年に起きた同種被害との関係
似た被害は、過去にもありました。2023年6月以降、同じような手口が国内で相次ぎました。観光庁は2023年11月にも注意喚起を出しています。当時も、予約客のカード情報が狙われました。
2024年4月の時点では、21の都道府県で118の施設が被害を公表していました。今回の2026年の事案は、過去の問題が再び広がった形です。手口の骨格は、当時とよく似ています。
どこで起きた事件なのか?被害の広がり
場所の話に移ります。この事案は、どこで報告されたのでしょうか。中心になったのは、東京・千代田にある業界団体でした。そこから全国の宿へ、さらに海外へと広がっています。被害がどこまで及んだのか、地理の面から見ていきます。
東京・千代田の日本ホテル協会に寄せられた報告
報告が集まった場所のひとつが、日本ホテル協会です。所在地は東京・千代田にあります。この協会には、帝国ホテルやオークラなど全国229の有名ホテルが加盟しています。
協会は2026年6月12日に声明を出しました。会長はロイヤルホテル会長の蔭山秀一氏が務めています。協会には5月から被害の報告が届くようになっていました。利用者へ注意を呼びかける内容です。
全国の宿泊施設へ拡大した状況
被害は東京だけにとどまりません。注意喚起を出したホテルは、各地に広がります。代表的な宿を表にまとめます。
| ホテル・グループ | 主な地域 |
|---|---|
| 帝国ホテル | 東京・大阪・京都 |
| 上高地帝国ホテル | 長野 |
| ホテルオークラ神戸 | 兵庫 |
| ホテルニューオータニ大阪 | 大阪 |
| 京王プラザホテル | 東京 |
| 東急ステイ | 全国 |
| WHGホテルズ | 全国 |
地域も運営会社もばらばらです。特定の宿だけの問題ではなく、予約サイトを介した横断的な事案です。だからこそ、巻き込まれた人の裾野も広がりました。
海外でも確認されている世界規模の被害
視点を国外に広げます。ブッキング・ドットコムの運営会社はオランダにあります。日本法人によれば、同様の被害は世界規模で起きています。日本だけの出来事ではありません。
過去の事案でも、海外が先行していたと指摘されてきました。国境をまたいで同じ手口が使われている点が、解決を難しくしています。被害の広がりは、一国の対応だけでは抑えにくい構造です。
どんな手口だったのか?不審メッセージの流れ
ここからは手口を分解します。なぜ、これほど多くの人が信じてしまうのでしょうか。接触のきっかけから、情報の入力までを順に追います。だましの仕掛けが、少しずつ見えてきます。
WhatsAppなどメッセージアプリを使った接触
最初の接触は、メッセージアプリで届きます。よく使われるのがWhatsAppです。差出人はホテルのスタッフを名乗ります。普段のやり取りに近い形で、自然に話しかけてきます。
メールだけでなくアプリを使う点が特徴です。普段の連絡手段に紛れ込むため、警戒されにくくなります。通知に気づいた人ほど、つい開いてしまいます。
実在の予約番号と宿泊日程が使われる点
文面には、本物の予約情報が書かれています。予約番号が正確です。宿泊日も合っています。名前が記されることもあります。だから利用者は、本物だと判断しやすくなります。
ここが、この事案の核心です。情報が正しいからこそ、疑う理由が消えてしまいます。偽物だと見抜く手がかりが、最初から奪われている状態です。
偽サイトへ誘導される一連の流れ
メッセージには、もっともらしい用件が書かれています。たとえば、カード情報の確認が必要だという内容です。手続きをしないと予約が取り消される、とも伝えられます。そして、リンクが添えられます。
リンクの先は偽のサイトです。そこでカード番号を入力すると、情報がそのまま盗まれます。急かす言葉で、冷静な判断をさせない工夫がされています。
流出したとみられる情報の中身とは?
次は、何が外に出たのかを確認します。盗まれる対象はカード情報だけではありません。予約にまつわる複数の個人情報が関わっています。流出したとみられる中身を、ひとつずつ見ていきます。
予約番号と宿泊日程
まず挙がるのが予約番号です。これは予約を特定する大切な番号です。宿泊日程も同じく重要です。この2つが犯人の手元にあります。
だから偽メッセージは具体的になります。予約番号と宿泊日が、本物らしさを支える土台になっています。抽象的な文面では、ここまで信じられません。
氏名・電話番号・メールアドレス
流出したとみられる情報は、ほかにもあります。氏名が含まれます。電話番号も対象です。メールアドレスもです。これらは連絡先として使えます。
連絡先がそろえば、接触の経路が増えます。アプリにもメールにも、同じ人へ届けられます。個人を狙い撃ちしやすくなる組み合わせです。
クレジットカード情報が狙われた経緯
犯人の最終的な狙いはカード情報です。予約情報そのものより、金銭につながる情報を求めています。そのためにフィッシングサイトへ誘導します。カード番号の入力を促します。
予約情報は、いわば入り口の鍵です。本物の予約情報で信用させ、最後にカード情報を奪う流れです。2段構えの組み立てになっています。
注意喚起したのは誰か?関係機関の動き
公的な動きを見ていきます。この問題には、業界団体と行政の両方が反応しました。誰が、いつ、どんな対応をしたのでしょうか。声明や調査の中身を確認します。利用者を守るための発信が、どこから出たのかがわかります。
日本ホテル協会による2026年6月12日の声明
業界団体として動いたのが日本ホテル協会です。声明を出したのは2026年6月12日でした。利用者に対し、不審なメッセージへの注意を呼びかけました。あわせて、ブッキング・ドットコム側にも対応を求めています。
協会は、原因の調査と結果の開示を要請しました。速やかな原因究明と情報開示を、運営会社へ強く求めています。利用者を守る立場からの発信です。
観光庁による2026年6月8日の調査開始
行政も動きました。観光庁は2026年6月8日、調査を始めたと明らかにしました。担当は旅行業務適正化の指導部門です。事実関係の確認を進めています。
調査の対象は、大きく3つに分かれます。
- ブッキング・ドットコムや、ほかのオンライン旅行予約サイト
- 不審メッセージが送られたホテル
- 日本ホテル協会などの業界団体
観光庁は、これ以上の被害が出ないよう、関係者に確認を求めています。
注意喚起を出した主なホテル
個別のホテルも、自ら注意を呼びかけました。公式サイトで告知を出した宿が相次ぎます。帝国ホテルや京王プラザホテルが含まれます。東急ステイや東武ホテルも告知しました。
運営会社の単位で動いた例もあります。WHGホテルズのように、グループ全体で注意を促す動きも見られました。各社が足並みをそろえた形です。
金銭被害はどれくらいか?判明している損失
被害の規模に踏み込みます。実際にお金が動いた事例も報告されています。代表的なのが、あるホテル運営会社のケースです。判明している損失額を確認します。利用者だけでなく、事業者も狙われた点が見えてきます。
ポラリス・ホールディングスの約900万円の損失
具体的な金額が出た例があります。ホテル運営会社のポラリス・ホールディングスです。本社は東京にあります。KOKO HOTELSなどのブランドを展開しています。
同社は2026年5月28日に被害を公表しました。不正アクセスにより、約900万円の損失が発生したとしています。利用者だけでなく、事業者も被害を受けた事例です。
口座情報の改ざんと不正送金の経緯
被害の中身を見てみます。ブッキング・ドットコムのグループアカウントが不正アクセスを受けました。そのうえで、売上金を受け取る口座の情報が書き換えられました。本来とは違う口座へ、お金が流れる形になります。
結果として、不正な送金が起きました。正規の入金先が、知らぬ間にすり替えられていました。事業者側のアカウントが狙われた点が、利用者向けの手口とは異なります。
予約客側で確認されたカード被害
利用者の側にも金銭リスクがあります。偽サイトでカード情報を入力すると、その情報が盗まれます。盗まれた情報は不正利用につながります。身に覚えのない請求が起きる恐れがあります。
流出したとみられる情報には、氏名や連絡先も含まれます。カード情報と個人情報がそろうと、不正利用の精度が上がります。利用者と事業者、その両方に被害が及んでいます。
漏洩経路はなぜ特定できていないのか?
ここで、大きな疑問に向き合います。これだけ被害が出ているのに、漏洩の経路は判明していません。なぜ特定が難しいのでしょうか。ホテル側、運営会社側、それぞれの説明を整理します。矛盾した状況が浮かび上がります。
ホテル側に漏洩の形跡が確認されない点
まず、ホテル側の状況です。日本ホテル協会によると、ホテルの管理システムに異常は見つかっていません。情報漏洩の形跡も確認されていません。つまり、宿の側からは原因が見えていません。
それでも、予約情報は外へ出ています。形跡がないのに情報が漏れている、という矛盾が残っています。この点が、調査を難しくしています。
ブッキング・ドットコム日本法人の見解
運営会社側の説明も確認します。ブッキング・ドットコムの日本法人は、自社からの流出を否定しています。システムから情報が漏れたわけではない、という立場です。
一方で、被害は現実に起きています。どちらの側も「自社が原因ではない」とすれば、出どころが宙に浮きます。説明の食い違いが、解明を遠ざけています。
原因究明が難航している理由とは?
原因がわからない背景には、いくつかの要因があります。被害が世界規模で広がっている点です。関係する事業者が多い点もあります。アカウントの不正アクセスが絡む点も、複雑さを増します。
日本ホテル協会の専務理事は、2026年6月16日に現状を語りました。発覚から1カ月以上たっても、十分な説明は確認できていないとしています。解明には、なお時間がかかる見通しです。
報道はどう伝えたか?日本経済新聞などの報道
報道の視点を加えます。この問題は複数のメディアが取り上げました。各社はどんな点に注目したのでしょうか。報じられた内容と、残された論点を見ます。情報源をたどることで、事実の輪郭がはっきりします。
日本経済新聞が報じた内容
日本経済新聞は、予約情報の漏洩とフィッシング被害を報じました。正規の連絡と勘違いした利用者が、カード情報を盗まれた点を伝えています。観光庁が注意を呼びかけている状況も紹介しています。
記事では、被害報告が5月から寄せられた経緯にふれています。東京・千代田の日本ホテル協会に報告が集まった点が記されています。事実関係を押さえた内容です。
J-CASTや観光経済新聞など他メディアの報道
ほかのメディアも続きました。J-CASTニュースは、観光庁が調査を始めた事実を報じています。注意喚起を出したホテルの数にも触れています。
観光経済新聞は、協会の声明を詳しく伝えました。ホテル側に漏洩の形跡がない、という説明を紹介しています。TRAICYなどの専門媒体も、手口の特徴を報じています。
報道で指摘された未解明の論点
各社の報道には、共通する点があります。漏洩の経路が判明していない、という指摘です。どこから情報が出たのか、明確になっていません。説明が不十分だという声も伝えられています。
収束の見通しも、はっきりしていません。手口や被害は見えても、出どころが見えない状態が続いています。ここが、報道に共通した関心事です。
FAQ(よくある質問)
最後に、よく挙がる疑問をまとめます。短い質問と答えで整理します。気になる点があれば、ここで確認してください。判明している事実の範囲でお答えします。あいまいな点は、あいまいなままお伝えします。
予約番号や宿泊日が正確でも偽メッセージのことがある?
あります。今回の事案では、本物の予約番号が使われています。宿泊日も正確なことが多いです。情報が合っているからといって、本物とは限りません。
むしろ、正確さこそが手口の中心です。正しい予約情報が、信じ込ませるための材料になっています。情報の一致は、安心の根拠になりません。
「自社から漏洩していない」とはどういう意味?
これは、関係者がそれぞれ、自社のシステムからの流出を確認できていない、という意味です。ホテル側はシステムに異常がないとしています。ブッキング・ドットコム日本法人も、自社からの流出を否定しています。
ただし、情報は現実に外へ出ています。どこから漏れたかが、まだ説明されていません。否定と被害が並び立つ点が、この問題の難しさです。
観光庁は何を調査しているのか?
観光庁は、事実関係の確認を進めています。対象はブッキング・ドットコムや、ほかの予約サイトです。被害が出たホテルも含まれます。業界団体も対象です。
目的は、これ以上の被害を防ぐことです。原因などの事実確認を、関係者へ速やかに求めています。調査は2026年6月の時点で進行中です。
いつ収束する見通しなのか?
明確な見通しは示されていません。漏洩の経路が判明していないためです。原因がわからないと、根本的な対応も定まりません。
専務理事の説明でも、十分な説明は確認できていないとされています。解明には、なお時間が必要だと考えられます。関係機関の発表を、引き続き確認していく段階です。
過去の同様の事件と何が違うのか?
手口の骨格は、2023年の事案とよく似ています。実在の予約情報を使う点は共通します。カード情報を狙う点も同じです。
違いは、再び大きく広がった点です。過去に問題化した手口が、2026年に再び表面化した形です。根本の原因が解決されないまま、繰り返されています。
まとめ
ブッキング・ドットコムの予約情報漏洩は、2026年5月から広がった問題です。本物の予約情報を使った偽メッセージが、利用者を偽サイトへ導きます。東京・千代田の日本ホテル協会が注意を呼びかけ、観光庁も調査に入りました。それでも、漏洩の経路は判明していません。
似た構図は、宿泊予約に限った話ではありません。実在する取引情報を悪用する手口は、通販やフリマ、宅配の不在通知などでも見られます。共通するのは、正しい情報で信用させてから、個人情報を奪う流れです。今日からできる一歩として、届いたメッセージの差出人と用件を、自分の予約履歴と照らして確かめてみてください。情報が合っていても、入力を求められたら立ち止まる。その習慣が、被害との距離を生みます。
参考文献
- 「ブッキング・ドットコムの予約情報漏洩か、詐欺誘導多発 カード情報盗難」-「日本経済新聞」
- 「観光庁が宿泊予約客への詐欺メッセージ問題で調査 『原因等の事実関係確認を求めている』」-「J-CASTニュース」
- 「日本ホテル協会、ブッキング・ドットコム予約者へのフィッシングメッセージに注意喚起」-「TRAICY」
- 「Booking.com フィッシングが多発 日本ホテル協会が注意喚起」-「観光経済新聞」
- 「予約情報の大量流出問題、日本ホテル協会がBooking.comに『誠実な対応』を求める」-「ライブドアニュース」
- 「Booking.com利用者へのフィッシング被害に関する注意喚起」-「観光庁」