結論:予約客に届く「支払いに失敗しました」「カード情報を再入力してください」は、ほぼ詐欺です。Booking.comも自館も、予約後にメッセージでカード情報や追加の支払いを求めません。この一点を、先回りして客に渡しておきます。
根拠:マイクロソフトの脅威インテリジェンスが、Booking.comを装い宿泊業界を狙うなりすましキャンペーンを確認しています。Booking.com公式も、メッセージでカード情報や支払いを求めることはないと明言し、観光庁も利用者へ注意喚起しています。
出す場所:予約直後の確認メール/チェックイン前リマインド/公式サイトのお知らせ常設/フロント口頭・客室掲示の4タイミング。滞在が近づくほど詐欺は届きやすく、予約直後と直前の2回が要です。
まず動く一手:公式サイトに注意喚起を1本常設し、予約確認メールのテンプレートに一文を加える。きょう着手できます。
位置付け:OTA運用のセキュリティ実務編。自館の管理画面を守る話と、客を守る連絡の話を1本にまとめています。
Q.いま何が起きているか ― 自館の名前で、客に詐欺が届く
「Booking.comから〈支払いに失敗しました〉とメッセージが来たのですが、本物ですか」。チェックイン中の客にそう尋ねられて、即答できるか。この問いに自信を持って答えられないなら、自館の予約客はすでに詐欺の射程に入っています。
手口は2段構えです。攻撃者はまず、宿泊施設のパソコンを狙います。偽の予約問い合わせを装ったメールで施設の担当者をだまし、マルウェアに感染させて、Booking.comの管理画面(エクストラネット)のIDとパスワードを盗みます。次に、その施設になりすまして、Booking.comの正規のメッセージ機能から予約客へ連絡し、「カード情報を再入力してほしい」「追加の支払いが必要」と誘導します。マイクロソフトの脅威インテリジェンスは、2024年12月以降このなりすましキャンペーンが続いていると報告しています。
客にとって厄介なのは、連絡が正規の経路で届く点です。普段使っている予約アプリやメールに、本物の予約番号や宿泊日と一緒に届くため、偽物だと気づきにくい。国内の宿泊施設でも被害が相次ぎ、テレビでも取り上げられています。観光庁も2023年に利用者向けの注意喚起を出しています。自館の名前が詐欺に使われ、客が金銭被害に遭えば、落ち度がなくても施設の信頼は傷つきます。だからこそ、客が詐欺メッセージを受け取る前に、見分ける基準を施設から渡しておきます。
注意.「うちは小さい宿だから狙われない」とは限りません。攻撃者は施設の規模ではなく、Booking.comに出ている施設アカウントを手当たり次第に狙います。実際、闇市場では盗まれた施設アカウントの情報が売買されています。客への注意喚起は、規模を問わず全施設に必要な備えです。
実際に出ている注意喚起 ― 2026年5月、各館が相次いで公表
2026年4月にBooking.com本体が不正アクセスを公表して以降、自館を装う詐欺への注意喚起を出す施設が国内で相次いでいます。報道では100を超える施設が公表したとされます(出典9・10)。以下は、各施設の公式サイトで注意喚起を確認できた一例です。施設名のリンク先は、各施設が出した公式のお知らせです。
掲載日は各施設の公式お知らせに基づきます(リンクは2026年6月8日時点で確認)。帝国ホテルはページ本文に日付の明記がなく、報道に基づき5月22日としています。このほかホテルサンルート浅草・京王プラザホテルなども同時期に注意喚起を出しており、被害は特定の系列に限らず各地に広がっています。
Q.正規と詐欺の境界 ― 客に伝える内容はここに尽きる
客に伝える内容は複雑にしないでください。詐欺の手口は次々と変わりますが、施設とBooking.comが「やらないこと」は変わりません。この「やらないこと」を客が1つ覚えておけば、文面がどれだけ巧妙でも見分けられます。冒頭の見分け表を、客の言葉に置き換えると次の3点になります。
1
カード情報を、メッセージで再入力させない
Booking.comも自館も、予約後にメールやSMS、メッセージ機能でクレジットカード番号やセキュリティコードの再入力を求めることはありません。「再入力しないと予約が消える」は、焦らせて入力させるための作り話です。
客への一言
「カード番号の再入力を求める連絡は、すべて無視して構いません」
2
支払いは予約時の方法のまま。追加入金を求めない
支払いは予約したときの方法で完了します。「支払いに失敗した」「二重に請求された分を別リンクから」といった、別経路での入金要求は届きません。金額や期限で急かす連絡ほど疑ってください。
客への一言
「お支払いのやり直しを別のリンクから求めることはありません」
3
迷ったら、リンクを開かず施設へ直接電話
本物か判断に迷う連絡が届いたら、メッセージ内のリンクやボタンを押さず、施設へ直接電話して予約状況を確認するのが最も安全です。確認先の電話番号を、施設からあらかじめ渡しておきます。
客への一言
「不審な連絡は開かず、当館(電話番号)へお問い合わせください」
要点.客に渡すのは「手口の一覧」ではなく「やらないことの宣言」です。手口は覚えきれませんが、「施設もBooking.comもカード情報や支払いをメッセージで求めない」の1文は覚えられます。この1文を、次のセクションの各タイミングで繰り返し伝えます。
Q.客が受け取る詐欺メッセージの典型
自館でスタッフと共有しておく材料として、客に届く詐欺メッセージの典型をまとめます。聞かれたときに「それは詐欺です」と即答するには、現場が手口を知っておく必要があります。
| 型 | 典型的な文面 | 狙い |
|---|
| 支払い失敗型 |
「お支払いの処理に失敗しました。24時間以内に再度ご入力ください」 |
焦らせて冷静に考えさせず、偽の決済ページへ誘導する |
| 予約取消の脅し型 |
「カード認証ができないため、ご予約が取り消されます」 |
予約を失う不安につけ込み、カード情報を入力させる |
| 登録・本人確認型 |
「ご登録が完了していません。アカウント認証のためカード情報の再登録を」 |
もっともらしい理由で情報を抜き取る |
| 経路すり替え型 |
SMSやWhatsAppへ誘導し「こちらで手続きを」と続ける |
記録の残るアプリ外へ連れ出し、施設の目を逃れる |
共通するのは「焦らせる」「外部リンクへ誘う」「カード情報か支払いを求める」の3点です。リンク先のアドレスは、Booking.comの正規ドメインに似せてあり、一見では見分けにくいものがあります。文字を1つ差し替えたり、正規のサブドメインに見せかけたりする細工もあります。客には「アドレスの細部を見分けて」と求めるより、「リンクは開かず施設に電話で確認」と伝えるほうが確実です。
注意.詐欺メッセージは日本語の精度も上がっており、文面の不自然さだけでは見抜けなくなっています。「日本語がおかしいかどうか」を判断基準として客に伝えるのは避けてください。基準は文面の巧拙ではなく、「カード情報や支払いを求めているか」「外部リンクへ誘っているか」です。
Q.いつ・どこで・何を伝えるか ― そのまま使える連絡文例
注意喚起は1回出して終わりにせず、予約から滞在までの流れに沿って4回触れます。詐欺メッセージは滞在が近づくほど届きやすいため、予約直後と直前の2回を必ず押さえます。以下の文例は、【施設名】【電話番号】を差し込めばそのまま使えます。自館の支払い方法に合わせて、該当箇所を選んでください。
タイミング1予約直後の確認メール・自動返信に一文
狙い:予約した瞬間の客に、最初の段階で「詐欺が来ても従わない」基準を渡す。一番効く場所。
連絡文例
予約確認メールの末尾に追記
この度はご予約ありがとうございます。
【ご注意のお願い】当館および Booking.com から、メール・SMS・メッセージ機能でクレジットカード番号の再入力や追加のお支払いをお願いすることはありません。「お支払いに失敗しました」「24時間以内に手続きしないと予約が取り消されます」など、支払いを急かす連絡や外部サイトへのリンクが届いた場合は、操作せず 【施設名】(【電話番号】)まで直接ご確認ください。
タイミング2チェックイン前リマインド(数日前〜前日)
狙い:滞在直前は詐欺が最も届きやすい。出発前にもう一度、短く念押しする。
連絡文例
事前案内メール・SMSに
ご宿泊が近づいてまいりました。安心してお越しいただくためのご確認です。お支払いは【予約時のお支払い方法/ご来館時/予約サイト上】で完了します。これとは別に、カード情報の再入力や追加のお支払いを求めるメッセージが届いても、応じないでください。ご不明な点は 【施設名】(【電話番号】)へお電話ください。
タイミング3公式サイトのお知らせに常設
狙い:「この連絡は本物か」と施設名で検索した客の受け皿。常設して、いつ見ても確認できる状態にする。
連絡文例
お知らせ/FAQ ページの見出し+本文
【重要】Booking.com・当館を装ったフィッシング詐欺にご注意ください
当館では、ご予約後にメール・SMS・メッセージ機能でクレジットカード情報や追加のお支払いを求めることは一切ありません。「お支払いに失敗しました」「ご予約が取り消されます」など、お支払いを急かす連絡や外部サイトへのリンクにはご注意ください。不審な連絡を受け取られた場合は、リンクを開かず 【施設名】(【電話番号】)までご連絡ください。
タイミング4フロント口頭・客室掲示
狙い:チェックイン時・滞在中に直接。聞かれたときのスタッフの答えも、この文で統一する。
掲示・口頭の文例
フロント・客室の掲示カード
お客様へ:当館・Booking.com から、カード情報やお支払いを、メッセージや SMS でお願いすることはありません。お心当たりのない請求やリンクが届いた場合は、開かずにフロントへお声がけください。
運用のコツ.4つを一度に整える必要はありません。効果が高い順に、(1)公式サイトの常設、(2)予約確認メールへの一文、(3)チェックイン前リマインド、(4)フロント掲示、の順で着手すれば、最小の手間で多くの客に届きます。文面はどれも同じ趣旨で揃え、客が何度見ても同じ基準を受け取れるようにします。
Q.「これ本物ですか」と聞かれた時と、被害に遭った客への案内
聞かれた時 ― フロントの即答を1つに揃える
客に尋ねられたとき、スタッフごとに答えがぶれると、客はかえって不安になります。次の流れを全スタッフで共有してください。
この順で答える(1)「カード情報やお支払いを求める連絡は、当館もBooking.comも送っていません」と先に断定する。(2)「リンクは開かないでください」と止める。(3)「こちらで予約状況を確認します」と、施設側で正規の予約を確認して安心材料を返す。
避ける対応「大丈夫です」とあいまいに流す。「Booking.comに聞いてください」と突き放す。客の画面のリンクをスタッフが代わりに開いて確認する(感染の恐れ)。
すでにカード情報を入力してしまった客への案内
入力済みと分かったら、時間との勝負です。次の順で案内します。せかさず、落ち着いて手順を示してください。
- すぐカード会社へ連絡。カードの利用停止と再発行を依頼する。カード裏面または明細の電話番号から。
- 正規の予約状況を確認。Booking.com公式アプリか管理画面で予約と請求を確認し、身に覚えのない請求はカード会社に異議を申し立てる。
- 公的窓口へ相談。警察相談専用電話 #9110、消費生活相談は消費者ホットライン 188。フィッシングの情報提供はフィッシング対策協議会へ。
- 施設からBooking.comへ報告。自館アカウントの不正利用が疑われる場合は、Booking.comのセキュリティ窓口へ届け出る。
控えておく.客から相談を受けたら、いつ・どんな連絡が届いたか(スクリーンショットがあれば理想)を控えておくと、自館アカウントが乗っ取られていないかの確認や、Booking.comへの報告に役立ちます。相談先の電話番号(カード会社・#9110・188)をフロントの手元に1枚置いておくと、その場で渡せます。
Q.自館が踏み台にされないために ― 管理画面の守り
客への詐欺は、もとをたどれば自館の管理画面(エクストラネット)の乗っ取りから始まります。ここを守れば、自館の名前が詐欺に使われる事態を入り口で防げます。専門部署がなくても回せる最低限を挙げます。
1
エクストラネットの二段階認証を有効にする
パスワードが漏れても、もう1つの認証がなければログインを止められます。Booking.comはパートナー向けに二段階認証を提供しています。複数スタッフで共有しているアカウントこそ、必ず設定してください。
2
偽の予約問い合わせ・確認画面の指示に従わない
「ゲストと連絡が取れない」「24時間以内に対応しないとアカウント停止」と急かすメールは、感染への入り口です。とくに、確認画面でキーボード操作やコマンドの貼り付けを促す指示(偽のCAPTCHAを装う手口)には絶対に従わないでください。
3
パスワードの使い回しをやめ、ログイン履歴を確認する
他サービスと同じパスワードを避け、定期的に変更します。エクストラネットのログイン履歴を週に一度は見て、身に覚えのないアクセスがないか確認します。送信済みメッセージに、自分が送っていないものが混じっていないかも点検します。
4
乗っ取りに気づいたら、すぐ止める
不審なログインや、客への身に覚えのないメッセージを見つけたら、直ちにパスワードを変更し、Booking.comのセキュリティ窓口へ報告します。感染が疑われる端末はネットワークから切り離し、専門業者の確認を受けます。
補足.Booking.comはパートナー向けに、アカウント保護やサイバーセキュリティの解説、不正の報告窓口を用意しています(出典1〜3)。設定手順や報告先はそちらが正本です。
Q.注意喚起の段取りチェックリスト
ここまでを、きょうから動かせる段取りに落とします。客への連絡(上段)と、自館の守り(下段)を分けて整理しました。上から順に着手すれば、最小の手間で守りを固められます。
客への注意喚起 ― まず整える4つ
| やること | 目安 | 担当 |
|---|
| 公式サイトのお知らせ/FAQに注意喚起を1本常設する | すぐ | web担当・支配人 |
| 予約確認メール・自動返信のテンプレートに一文を追加する | 今週中 | 予約・フロント |
| チェックイン前リマインドにも注意喚起を入れる | 今週中 | 予約・フロント |
| フロント掲示・客室カードを用意し、即答スクリプトを全員に共有する | 今月中 | フロントマネジャー |
| 外国語の予約客向けに、英語版の一文を併記する | 今月中 | web担当・予約 |
自館の守り ― 管理画面を固める
| やること | 目安 | 担当 |
|---|
| エクストラネットの二段階認証を有効にする | すぐ | OTA担当 |
| パスワードを更新し、使い回しをやめる | 今週中 | OTA担当 |
| ログイン履歴・送信済みメッセージの定期確認を運用に入れる | 今週中 | OTA担当 |
| 偽の予約問い合わせ・確認画面の手口をスタッフに周知する | 今月中 | 支配人・各部門 |
| 被害相談の窓口(カード会社・#9110・188・Booking.com報告先)を一覧にしてフロントに置く | 今月中 | フロントマネジャー |
OTAの運用そのものに手が回らない場合は、運用代行という選択肢もあります。判断材料はOTA運営代行のメリットと選び方で整理しています。
Q.よくある質問
予約客から「Booking.comからカード情報を求めるメッセージが来た」と言われました。本物ですか
詐欺の可能性が高いです。Booking.comも宿泊施設も、予約後にメールやSMS、メッセージ機能でクレジットカード番号の再入力や追加の支払いを求めることはありません。「支払いに失敗しました」「24時間以内に手続きしないと予約が取り消されます」と急かす連絡や、外部サイトへのリンクが届いた場合は操作しないよう案内し、フロントで予約状況を直接確認してください。
宿泊客への注意喚起は、いつ・どうやって出せばいいですか
4つのタイミングに分けると漏れません。(1)予約直後の確認メールに一文、(2)チェックイン前のリマインドにもう一度、(3)公式サイトのお知らせに常設、(4)フロントでの口頭と客室掲示です。滞在が近づくほど詐欺メッセージは届きやすいため、予約直後と直前の2回が要になります。本文に各タイミングの連絡文例を用意しています。
宿泊客がすでにカード情報を入力してしまいました。どう案内すればいいですか
まずカード会社へすぐ連絡してカードの利用停止と再発行を依頼するよう伝えます。次にBooking.comのアプリや管理画面から正規の予約状況を確認し、不審な請求があればカード会社に異議を申し立てます。被害の届け出は警察相談専用電話#9110、消費者ホットライン188が窓口です。施設側はBooking.comのセキュリティ窓口に報告します。
なぜ当館の名前やBooking.comの正規メッセージで詐欺が届くのですか
攻撃者が宿泊施設の管理画面(エクストラネット)のIDとパスワードを盗み、その施設になりすまして正規のメッセージ機能から予約客へ連絡するためです。偽の予約問い合わせを装ったメールで施設のパソコンをマルウェアに感染させ、認証情報を抜き取る手口がマイクロソフトなどに確認されています。正規の経路で届くからこそ、客が信じやすくなります。
自館のBooking.com管理画面を乗っ取られないために何をすればいいですか
エクストラネットの二段階認証を必ず有効にし、パスワードの使い回しをやめます。身に覚えのない予約問い合わせの添付やリンクを不用意に開かない、確認画面でコマンドの貼り付けを促す指示には従わない、ログイン履歴を定期的に確認する、を徹底します。乗っ取りに気づいたら直ちにパスワードを変更し、Booking.comのセキュリティ窓口へ報告してください。
注意喚起すると、かえって「この宿は危ない」と不安にさせませんか
逆です。先に正しい基準を渡しておくほど、客は詐欺メッセージを見分けられ、被害に遭いません。事実だけを淡々と伝え、確認先として施設の電話番号を示せば、不安をあおらずに安心材料になります。被害が出てから対応するより、予約時に一言添えるほうが施設の信頼につながります。
外国語の予約客にも伝えるべきですか
伝えてください。なりすまし詐欺は海外の予約客にも同じ手口で届きます。確認メールやリマインドの英語版、公式サイトのお知らせに英語の一文を併記すると確実です。要点は「施設もBooking.comもメッセージでカード情報や支払いを求めない」「不審な連絡は施設へ直接確認を」の2点で、これを各言語で短く示せば足ります。
