弊社では、パートナー様およびお客様のデータの安全性を何よりも重要視しており、お寄せいただくご信頼、そして日頃のご愛顧・お引き立てにお応えすべく、データおよびプライバシーの保護に努めています。それに伴い、弊社では業界屈指の技術を用いて、疑わしい不審なアクティビティを監視、検出、ブロックします。

なお、一部の施設パートナー様においては、標的型フィッシング詐欺メールならびにマルウェア攻撃が確認されております。アゴダのプラットフォームに対するセキュリティ侵害ではないため弊社のバックエンドシステムやインフラへの侵害はありませんでしたが、影響を受けたパートナー様もいらっしゃいます。サイバー攻撃は日々巧妙化しているため、いくつかシンプルで最適な手順に従うことで、オンライン詐欺や、施設の管理システムを標的とした詐欺の被害に遭うリスクを軽減できます。

この記事では、貴施設がどのようにして貴施設ならびにお客様を攻撃者(脅威アクター)によるサイバー攻撃から守ることができるのかをご説明いたします。

現在、旅行業界およびその他の業界に影響を与えている詐欺の種類は何ですか?

最新のサイバー攻撃では、インストールされたスパイウェアが施設のITインフラを侵害しました。その後、脅威アクターは施設の認証情報を盗んで他のプラットフォームにアクセス。施設になりすましてお客様にフィッシングリンクを送信し、金銭を騙し取ります。

脅威アクターはどのようにしてサイバー攻撃を行うのですか?

  1. 脅威アクターが、信頼できるパートナー経由もしくは直接予約として、施設に偽装予約を作成します。
  2. 偽装予約を利用してお客様を装った脅威アクターは、施設に連絡し、悪意あるリンクを含むメッセージを送信します。
  3. 施設がリンクをクリックすると、施設のITシステムに自動的にマルウェアがダウンロードされます。マルウェアとは、アゴダ(またはその他第三者)のメッセージプラットフォームやYCSにアクセスするための施設の認証情報を記録して盗み取るスパイウェアです。
  4. 脅威アクターは、盗んだ認証情報を利用して第三者(例:アゴダ)のメッセージプラットフォームにアクセスします。そこから、実際に予約したお客様に対して、施設を装って連絡を取ります。
  5. 脅威アクターは第三者のメッセージプラットフォームを使い、予約済みのお客様にメッセージを送信し、悪意あるリンクをクリックして支払い情報を提供するよう指示をします。また、このリンクを通して支払いを行わない場合は、予約をキャンセルすると脅すこともよくあります。
  6. お客様が悪意あるリンクをクリックすると、アゴダまたは第三者のウェブサイトに似せた偽サイトに移動します。
    お客様がこのような悪意あるリンクを通して支払い情報を提供してしまった場合、脅威アクターがお客様の情報にアクセスし、不正利用を行って詐欺を働きます。
  1. ご注意いただきたいのは、このようなことが起きた場合、施設側では気が付かない可能性が高いことです。またこれらの取引はアゴダのプラットフォーム上では行われないため、弊社としても確認できません。お客様が弊社のカスタマーサポートにご連絡いただいて初めて、この状況に気付くことができます。

施設およびお客様の情報をどのようにして守ることができますか?

  1. 貴施設の事業を守るため、詐欺やサイバー犯罪に注意を払い、従業員への教育を行ってください。
  1. ITシステムに、最新のウイルス対策ソフトウェアを導入・実行してください。
  2. パソコンではなく、携帯電話でYCSの多要素認証を有効にしてください。脅威アクターが貴施設のパソコンを操作した場合、メール受信ボックスに送られたOTP(確認用パスワード)も読み取られてしまいます。OTPが携帯電話に送信される場合、脅威アクターがOTPを見ることができないため、YCSプラットフォーム上へのアクセスを防ぐことができます。
  1. 不審なメッセージやメールを受信した場合は、本文のリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。最近あったフィッシング詐欺メールの内容として、以下のものがあります。
    • アレルギーに関して宿泊施設に苦情の連絡を入れるお客様
    • 差別を受けたために法的手段を取る、と施設を脅すお客様
    • 車椅子利用者への差別を主張するお客様
    • 高齢のためサポートが必要と主張し、施設の所在地を探す手伝いを希望するお客様なお、これらの内容は実際にお客様から届く正当なお問い合わせである可能性がありますが、この「お客様」の場合は状況を説明した後、施設に対して一般的なクラウドサービス(Google Drive、MEGA.nz、Dropboxなど)からZIPまたはRAR形式のファイルをダウンロードしたり、開いたりするように指示する点が通常のお問い合わせと大きく異なります。
  2. 貴施設で詐欺メールを受信したと思われる場合は、アゴダ営業担当に直接ご連絡ください。

詐欺やサイバー犯罪に遭った場合は、どのように対応すれば良いですか?

アゴダのアカウント情報を守るため、あらゆる関連対策を講じていただくことを強くお勧めします。しかしながら、万が一貴施設のアカウントが侵害された場合は、以下の対応を推奨します。

  1. 営業担当を通じてアゴダに連絡
  2. 貴施設のメールパスワード、およびアゴダアカウントのパスワード両方を再設定
  3. 複数のアカウントで共通したパスワードの使用を控える
  4. システムにウイルス/マルウェア対策を施す
  5. フィッシングやスパムメッセージが貴施設のアカウントから送信されていないことを確認

弊社では、貴施設のログインおよび/またはメッセージプラットフォームの使用について通常と異なるパターンを検知した場合、予防措置としてパスワードの再設定を行い、また一時的にYCSへのアクセスを無効にいたします。貴施設からの確認を受信でき次第、アクセスを復活させます。

自分のVCC/UPCカードが使用されていることに気づいた場合、どうすれば良いですか?

  1. 脅威アクターはどのようにしてサイバー攻撃を行うのですか?」のセクションで詳述したように、脅威アクターが宿泊施設のYCSアカウントへのアクセスに成功すると、これらのアカウントからVCC/UPCカードを使って詐欺業者に支払いを行う可能性があります。
  2. その結果、宿泊施設がVCC/UPCカードでの請求を試みても、資金不足で取引が失敗となってしまします。
  3. VCC/UPCカードが使用されていることにお気付きになった場合は、「詐欺やサイバー犯罪に遭った場合は、どのように対応すれば良いですか?」に記載されている手順に従い、営業担当までご連絡ください。

よくあるご質問

1. 施設のアカウントが侵害された場合、お客様に報告したほうが良いですか?

はい、お客様に報告する必要があります。

関連するデータプライバシー法に従い、またアゴダとの契約上の義務(最新のデータ保護法を参照)に従い、PII(個人を識別できる情報)インシデント(セキュリティインシデントが、貴施設、貴施設のソフトウェア、ビジネスパートナー、下請け業者、代理店によるPIIの処理、および/またはアゴダの利用規約に反したアゴダシステムの使用ならびにアクセスに起因するもしくは関連する場合)を管理する責任は貴施設にあります。

したがってこの場合、適用されるプライバシー法に関して独立したデータ管理者としての義務を履行することを、貴施設に依存します。

2.チャージバックの手続きに長い時間を要するのはなぜですか?アゴダによって手続きを迅速化できないのですか?

アゴダは、パートナーのUPCにおける不正な請求を発見した場合、UPCでの取引を無効にするためにチャージバックの開始を試みます。アゴダは、申請されたすべてのチャージバックに関して、Mastercardの規則で定められた手続きとタイムラインに従う必要があるため、手続きのタイミングを制御できません。チャージバックの申請後、加盟店(この場合はサイバー攻撃者)がチャージバックに異議を唱え、独自の関連書類を提出する可能性があります。こうしたケースでは手続きがさらに複雑化し、遅延が発生する場合もあります。アゴダが第一段階でチャージバックを完了できた場合、チャージバックの手続きは45日以内に終了します。アゴダが第一段階でチャージバックを完了できなかった場合、加盟店が提出した証拠書類に応じて、アゴダはMastercardに対して事前仲裁を申し立てる可能性があります。これによって、チャージバックの手続きが第二段階へと移行し、チャージバックの結果が判明するまでに最大120日かかります。したがって、アゴダはパートナーがUPCで請求された料金を回収できるよう最善を尽くしますが、チャージバックの手続きは複雑であり、その多くがアゴダの管理範囲外にあります。

3. アゴダよりチャージバックの手続きに関する詳細は提供されますか?

質問2の回答をご参照ください。

4.アゴダがチャージバックを完了できなかった場合はどうなりますか?施設が損失を負うことになるのでしょうか?

アゴダは、パートナーがUPCにおいて請求された料金を回収できるよう最善を尽くしますが、加盟店(この場合はサイバー攻撃者)がチャージバックに異議を唱える可能性があるため、チャージバックの結果は保証されません。こうしたケースではチャージバックの手続きが複雑化し、遅延が発生して、チャージバックの結果に影響が及ぶ可能性があります。アゴダのパートナーは、UPCにおけるすべての使用(不正な請求を含む)に対して責任を負います。そのため、残念ながらUPCにおける不正な請求に関連する損失は、パートナーが負担することになります。

5. 施設のUPCで行われた取引に対して、アゴダがチャージバックを申請できないのはなぜですか?

Mastercardの規則に基づき、今回のケースのように3Dセキュア認証を有効にしている加盟店によってUPCでの請求が行われたパートナーに代わって、アゴダがチャージバックの申請を行うことはできません。

6.ホテルの従業員がUPCでの精算を行った可能性はありますか?

ホテルの従業員による内部不正の可能性は常に存在します。アゴダは、パートナーのUPCで行われた疑わしい取引を検出した場合、取引データを調査して、不正行為の可能性のある兆候を確認します。ホテルの従業員または外部の関係者による不正行為の兆候をアゴダが発見した場合は、パートナーに通知します。なお、アゴダやホテルによって検知された最近の事例はすべて、ホテルの内部不正ではなく、外部の行為者によるものでした。したがって、内部不正のリスクを最小限に抑えるためにも、常に注意を払い、UPCの詳細へのアクセスを限られた従業員にのみ許可することをおすすめします。YCSUPSの安全な取扱いに関する詳細は、こちらの記事をご参照ください。

7. サイバー攻撃者は、アゴダのプラットフォーム上の宿泊施設をターゲットにしているのでしょうか?サイバー攻撃者はどのようにして宿泊施設の連絡先情報を入手したのでしょうか?

現在、旅行業界に対する標的型フィッシングメールやマルウェア攻撃が増加傾向にあります。アゴダの調査によると、当社パートナーの一部が標的にされていると考えられます。アゴダによる継続的なセキュリティ監視システムを通じて、マルウェアによるローカルコンピュータシステムの乗っ取りという犯罪を行う目的で、サイバー攻撃者から一部のパートナーに対してフィッシングメールが送信されていたことが判明しました。これらの「悪質な行為者」がアゴダのパートナーになりすまし、メールやその他の通信チャネルを介してゲストと通信していたケースもあります。こうしたサイバー攻撃を通じて、攻撃者はUPCでの請求を行うために、パートナーのYCSにもアクセスします。

8. アゴダは、攻撃者がマルウェア攻撃やフィッシング攻撃を通じて施設のYCSとUPCにアクセスしたことをどのように知るのでしょうか?

質問7の回答をご参照ください。

9.アゴダは、マルウェア攻撃やフィッシング攻撃を防ぐための手段を持っていますか?

残念ながら、アゴダはパートナー側で発生するマルウェア攻撃やフィッシング攻撃を阻止できません。一方、アゴダはUPCとYCSのセキュリティを強化する方法を検討しており、近日中に詳細をお知らせする予定です。その間、オンラインセキュリティに対する意識を高め、この記事でご説明した手順を実行して、貴施設とゲストの情報を保護することをお勧めします。

10.こうしたケースがアゴダの内部不正ではないこと、またはマルウェア攻撃やフィッシング攻撃がアゴダによって仕組まれたものではないことを、どのように確認できますか?

アゴダは、パートナーやゲストのデータの安全性を何よりも重要視しています。また、アゴダにとって、事業運営の鍵となるのは誠実さであると信じています。アゴダは、パートナーやゲストとの関係を損なうようなことは一切行いません。

11.コンピュータシステムでマルウェアやウイルスのスキャンを実行しましたが、マルウェアは見つかりませんでした。なぜアゴダは、マルウェア攻撃とフィッシング攻撃が根本的な原因であると言えるのでしょうか?これについて、どのように説明できますか?

YCSアカウントへのログインに使用するすべてのコンピューターで、最新のマルウェアとウイルスのスキャンを実行することをお勧めします。YCSユーザーが複数いる場合は、そのうちの1人が悪意のあるリンクをクリックしてしまい、パートナーのYCS認証情報が盗まれた可能性があります。

お問い合わせ

問題が解決しない場合は、YCSの[お困りですか?]ボタン、またはその他の方法から、弊社までお問い合わせください。

Was this article helpful?

%

%

Thanks for your feedback!

We're happy to hear that! Please tell us more.
Sorry about that. Could you tell us why?

Recommended reads

Agoda celebrates Golden Circle Awards across Asia

Agoda celebrates Golden Circle Awards across Asia

Agoda celebrates Golden Circle Awards across ...

We're thrilled to share that Agoda has recently hosted the Golden Circle Awards at in Bangkok, Phuket, Hong Kong, Seoul and Tokyo

We're thrilled to share that Agoda has recently hosted the Golden Circle Awards at in Bangkok, Phuke ...

Agoda Partner Appreciation Night – Livestream

Agoda Partner Appreciation Night – Livestream

Agoda Partner Appreciation Night – Live ...

Thank you for joining us for industry insights from Agoda’s leaders!

Thank you for joining us for industry insights from Agoda’s leaders!

Protected: Agoda Partner Appreciation Night – Livestream

Protected: Agoda Partner Appreciation Night – Livestream

Protected: Agoda Partner Appreciation Night & ...

There is no excerpt because this is a protected post.

There is no excerpt because this is a protected post.

Agoda Manila hosts ‘Coffee Session’ for Growth Team

Agoda Manila hosts ‘Coffee Session’ for Growth Team

Agoda Manila hosts ‘Coffee Session̵ ...

Agoda Manila hosts 'Coffee Session' for Growth Team Partners

Agoda Manila hosts 'Coffee Session' for Growth Team Partners

Agoda launches the 3rd edition Eco Deals Program at the ASEAN Tourism – Forum

Agoda launches the 3rd edition Eco Deals Program at the ASEAN Tourism – Forum

Agoda launches the 3rd edition Eco Deals Prog ...

Agoda, the global digital travel platform, announced at the ASEAN Tourism Forum (ATF) that it has broadened its collaboration with World Wide Fund for Nature (WWF), expanding its Eco Deals Program to support eight conservation projects across Southeast Asia.

Agoda, the global digital travel platform, announced at the ASEAN Tourism Forum (ATF) that it has br ...

Agoda Manila hosts “Bites & Insights” for Partners

Agoda Manila hosts “Bites & Insights” for Partners

Agoda Manila hosts “Bites & Insigh ...

Partners feast on Bites & Insights in Manila

Partners feast on Bites & Insights in Manila

Agoda Partner Appreciation Night

Agoda Partner Appreciation Night

Agoda Partner Appreciation Night

Join us on 2 February from 18:00 (GMT+7) for industry insights from Agoda’s leaders.

Join us on 2 February from 18:00 (GMT+7) for industry insights from Agoda’s leaders.

Jet-set into 2024: Agoda shares travel ideas for a year of new discoveries!

Jet-set into 2024: Agoda shares travel ideas for a year of new discoveries!

Jet-set into 2024: Agoda shares travel ideas ...

As the new year begins, Thai travelers may find themselves curating their resolutions list, encompassing a wide range of aspirations from eating healthier and indulging in new experiences to reading more.

As the new year begins, Thai travelers may find themselves curating their resolutions list, encompas ...