弊社では、パートナー様およびお客様のデータの安全性を何よりも重要視しており、お寄せいただくご信頼、そして日頃のご愛顧・お引き立てにお応えすべく、データおよびプライバシーの保護に努めています。それに伴い、弊社では業界屈指の技術を用いて、疑わしい不審なアクティビティを監視、検出、ブロックします。
なお、一部の施設パートナー様においては、標的型フィッシング詐欺メールならびにマルウェア攻撃が確認されております。アゴダのプラットフォームに対するセキュリティ侵害ではないため弊社のバックエンドシステムやインフラへの侵害はありませんでしたが、影響を受けたパートナー様もいらっしゃいます。サイバー攻撃は日々巧妙化しているため、いくつかシンプルで最適な手順に従うことで、オンライン詐欺や、施設の管理システムを標的とした詐欺の被害に遭うリスクを軽減できます。
この記事では、貴施設がどのようにして貴施設ならびにお客様を攻撃者(脅威アクター)によるサイバー攻撃から守ることができるのかをご説明いたします。
現在、旅行業界およびその他の業界に影響を与えている詐欺の種類は何ですか?
最新のサイバー攻撃では、インストールされたスパイウェアが施設のITインフラを侵害しました。その後、脅威アクターは施設の認証情報を盗んで他のプラットフォームにアクセス。施設になりすましてお客様にフィッシングリンクを送信し、金銭を騙し取ります。
脅威アクターはどのようにしてサイバー攻撃を行うのですか?
- 脅威アクターが、信頼できるパートナー経由もしくは直接予約として、施設に偽装予約を作成します。
- 偽装予約を利用してお客様を装った脅威アクターは、施設に連絡し、悪意あるリンクを含むメッセージを送信します。
- 施設がリンクをクリックすると、施設のITシステムに自動的にマルウェアがダウンロードされます。マルウェアとは、アゴダ(またはその他第三者)のメッセージプラットフォームやYCSにアクセスするための施設の認証情報を記録して盗み取るスパイウェアです。
- 脅威アクターは、盗んだ認証情報を利用して第三者(例:アゴダ)のメッセージプラットフォームにアクセスします。そこから、実際に予約したお客様に対して、施設を装って連絡を取ります。
- 脅威アクターは第三者のメッセージプラットフォームを使い、予約済みのお客様にメッセージを送信し、悪意あるリンクをクリックして支払い情報を提供するよう指示をします。また、このリンクを通して支払いを行わない場合は、予約をキャンセルすると脅すこともよくあります。
- お客様が悪意あるリンクをクリックすると、アゴダまたは第三者のウェブサイトに似せた偽サイトに移動します。
お客様がこのような悪意あるリンクを通して支払い情報を提供してしまった場合、脅威アクターがお客様の情報にアクセスし、不正利用を行って詐欺を働きます。
- ご注意いただきたいのは、このようなことが起きた場合、施設側では気が付かない可能性が高いことです。またこれらの取引はアゴダのプラットフォーム上では行われないため、弊社としても確認できません。お客様が弊社のカスタマーサポートにご連絡いただいて初めて、この状況に気付くことができます。
施設およびお客様の情報をどのようにして守ることができますか?
- 貴施設の事業を守るため、詐欺やサイバー犯罪に注意を払い、従業員への教育を行ってください。
- ITシステムに、最新のウイルス対策ソフトウェアを導入・実行してください。
- パソコンではなく、携帯電話でYCSの多要素認証を有効にしてください。脅威アクターが貴施設のパソコンを操作した場合、メール受信ボックスに送られたOTP(確認用パスワード)も読み取られてしまいます。OTPが携帯電話に送信される場合、脅威アクターがOTPを見ることができないため、YCSプラットフォーム上へのアクセスを防ぐことができます。
- 不審なメッセージやメールを受信した場合は、本文のリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。最近あったフィッシング詐欺メールの内容として、以下のものがあります。
- アレルギーに関して宿泊施設に苦情の連絡を入れるお客様
- 差別を受けたために法的手段を取る、と施設を脅すお客様
- 車椅子利用者への差別を主張するお客様
- 高齢のためサポートが必要と主張し、施設の所在地を探す手伝いを希望するお客様なお、これらの内容は実際にお客様から届く正当なお問い合わせである可能性がありますが、この「お客様」の場合は状況を説明した後、施設に対して一般的なクラウドサービス(Google Drive、MEGA.nz、Dropboxなど)からZIPまたはRAR形式のファイルをダウンロードしたり、開いたりするように指示する点が通常のお問い合わせと大きく異なります。
- 貴施設で詐欺メールを受信したと思われる場合は、アゴダ営業担当に直接ご連絡ください。
詐欺やサイバー犯罪に遭った場合は、どのように対応すれば良いですか?
アゴダのアカウント情報を守るため、あらゆる関連対策を講じていただくことを強くお勧めします。しかしながら、万が一貴施設のアカウントが侵害された場合は、以下の対応を推奨します。
- 営業担当を通じてアゴダに連絡
- 貴施設のメールパスワード、およびアゴダアカウントのパスワード両方を再設定
- 複数のアカウントで共通したパスワードの使用を控える
- システムにウイルス/マルウェア対策を施す
- フィッシングやスパムメッセージが貴施設のアカウントから送信されていないことを確認
弊社では、貴施設のログインおよび/またはメッセージプラットフォームの使用について通常と異なるパターンを検知した場合、予防措置としてパスワードの再設定を行い、また一時的にYCSへのアクセスを無効にいたします。貴施設からの確認を受信でき次第、アクセスを復活させます。
自分のVCC/UPCカードが使用されていることに気づいた場合、どうすれば良いですか?
- 「脅威アクターはどのようにしてサイバー攻撃を行うのですか?」のセクションで詳述したように、脅威アクターが宿泊施設のYCSアカウントへのアクセスに成功すると、これらのアカウントからVCC/UPCカードを使って詐欺業者に支払いを行う可能性があります。
- その結果、宿泊施設がVCC/UPCカードでの請求を試みても、資金不足で取引が失敗となってしまします。
- VCC/UPCカードが使用されていることにお気付きになった場合は、「詐欺やサイバー犯罪に遭った場合は、どのように対応すれば良いですか?」に記載されている手順に従い、営業担当までご連絡ください。
よくあるご質問
はい、お客様に報告する必要があります。
関連するデータプライバシー法に従い、またアゴダとの契約上の義務(最新のデータ保護法を参照)に従い、PII(個人を識別できる情報)インシデント(セキュリティインシデントが、貴施設、貴施設のソフトウェア、ビジネスパートナー、下請け業者、代理店によるPIIの処理、および/またはアゴダの利用規約に反したアゴダシステムの使用ならびにアクセスに起因するもしくは関連する場合)を管理する責任は貴施設にあります。
したがってこの場合、適用されるプライバシー法に関して独立したデータ管理者としての義務を履行することを、貴施設に依存します。
アゴダは、パートナーのUPCにおける不正な請求を発見した場合、UPCでの取引を無効にするためにチャージバックの開始を試みます。アゴダは、申請されたすべてのチャージバックに関して、Mastercardの規則で定められた手続きとタイムラインに従う必要があるため、手続きのタイミングを制御できません。チャージバックの申請後、加盟店(この場合はサイバー攻撃者)がチャージバックに異議を唱え、独自の関連書類を提出する可能性があります。こうしたケースでは手続きがさらに複雑化し、遅延が発生する場合もあります。アゴダが第一段階でチャージバックを完了できた場合、チャージバックの手続きは45日以内に終了します。アゴダが第一段階でチャージバックを完了できなかった場合、加盟店が提出した証拠書類に応じて、アゴダはMastercardに対して事前仲裁を申し立てる可能性があります。これによって、チャージバックの手続きが第二段階へと移行し、チャージバックの結果が判明するまでに最大120日かかります。したがって、アゴダはパートナーがUPCで請求された料金を回収できるよう最善を尽くしますが、チャージバックの手続きは複雑であり、その多くがアゴダの管理範囲外にあります。
質問2の回答をご参照ください。
アゴダは、パートナーがUPCにおいて請求された料金を回収できるよう最善を尽くしますが、加盟店(この場合はサイバー攻撃者)がチャージバックに異議を唱える可能性があるため、チャージバックの結果は保証されません。こうしたケースではチャージバックの手続きが複雑化し、遅延が発生して、チャージバックの結果に影響が及ぶ可能性があります。アゴダのパートナーは、UPCにおけるすべての使用(不正な請求を含む)に対して責任を負います。そのため、残念ながらUPCにおける不正な請求に関連する損失は、パートナーが負担することになります。
Mastercardの規則に基づき、今回のケースのように3Dセキュア認証を有効にしている加盟店によってUPCでの請求が行われたパートナーに代わって、アゴダがチャージバックの申請を行うことはできません。
ホテルの従業員による内部不正の可能性は常に存在します。アゴダは、パートナーのUPCで行われた疑わしい取引を検出した場合、取引データを調査して、不正行為の可能性のある兆候を確認します。ホテルの従業員または外部の関係者による不正行為の兆候をアゴダが発見した場合は、パートナーに通知します。なお、アゴダやホテルによって検知された最近の事例はすべて、ホテルの内部不正ではなく、外部の行為者によるものでした。したがって、内部不正のリスクを最小限に抑えるためにも、常に注意を払い、UPCの詳細へのアクセスを限られた従業員にのみ許可することをおすすめします。YCSとUPSの安全な取扱いに関する詳細は、こちらの記事をご参照ください。
現在、旅行業界に対する標的型フィッシングメールやマルウェア攻撃が増加傾向にあります。アゴダの調査によると、当社パートナーの一部が標的にされていると考えられます。アゴダによる継続的なセキュリティ監視システムを通じて、マルウェアによるローカルコンピュータシステムの乗っ取りという犯罪を行う目的で、サイバー攻撃者から一部のパートナーに対してフィッシングメールが送信されていたことが判明しました。これらの「悪質な行為者」がアゴダのパートナーになりすまし、メールやその他の通信チャネルを介してゲストと通信していたケースもあります。こうしたサイバー攻撃を通じて、攻撃者はUPCでの請求を行うために、パートナーのYCSにもアクセスします。
質問7の回答をご参照ください。
残念ながら、アゴダはパートナー側で発生するマルウェア攻撃やフィッシング攻撃を阻止できません。一方、アゴダはUPCとYCSのセキュリティを強化する方法を検討しており、近日中に詳細をお知らせする予定です。その間、オンラインセキュリティに対する意識を高め、この記事でご説明した手順を実行して、貴施設とゲストの情報を保護することをお勧めします。
アゴダは、パートナーやゲストのデータの安全性を何よりも重要視しています。また、アゴダにとって、事業運営の鍵となるのは誠実さであると信じています。アゴダは、パートナーやゲストとの関係を損なうようなことは一切行いません。
YCSアカウントへのログインに使用するすべてのコンピューターで、最新のマルウェアとウイルスのスキャンを実行することをお勧めします。YCSユーザーが複数いる場合は、そのうちの1人が悪意のあるリンクをクリックしてしまい、パートナーのYCS認証情報が盗まれた可能性があります。
お問い合わせ
問題が解決しない場合は、YCSの[お困りですか?]ボタン、または[その他の方法]から、弊社までお問い合わせください。
この記事は役に立ちましたか?
%
%
ご意見をお寄せいただきありがとうございます。