Andersen Chengは至る所でサイバー脅威を見ています。旅行を予約するたびに、彼は常にウェブサイトのアドレスを手動で入力し、Googleのリンクをクリックせず、カードの詳細を保存することはありません。
サイバーセキュリティ企業Post-QuantumのCEOとして、注意することはChengの性質ですが、旅行業界が増加する攻撃に直面しているため、一般の人々でさえ、この種の予防措置がますます推奨されています。
そして、Chenを含む多くの専門家は、テクノロジーと流通の急速な進歩はハッカーを勇ませるだけでなく、近い将来に「実存的な脅威」をもたらすより洗練された攻撃につながると警告しています。
多くのオンライン旅行代理店(OTA)やホテルグループでは、詐欺が蔓延しています。消費者はフィッシング詐欺に強くさらされています。たとえば、よく知られたソースから送信されたと思われるメールを受け取る場合などです。AdyenのHospitality Report 2024によると、ゲストの約71%が予約時の詐欺のリスクを懸念しています。
Airbnbによると、クレジットカード、フィッシング、ホリデー詐欺は、英国で最も一般的な種類の詐欺です。調査によると、影響を受けた人々は詐欺師に平均1,937ポンドを失い、この問題に対処するために2月にAirbnbがGet Safe Onlineで開始したキャンペーンに一部つながっています。
Airbnbはまた、より多くの詐欺師が人工知能(AI)を利用していると警告しており、調査した英国の成人の約3分の2が、AIが生成した不動産の画像を偽物であると特定できませんでした。
AIの脅威を超えて Beyond the AI threat
AIは確かにサイバーセキュリティの戦場に参入しました。また、Booking.comは昨年、AIツールの普及により、フィッシング攻撃が500%から900%増加したと報告しました。しかし、旅行業界にはそれだけではない別の問題があります。
サイバーセキュリティ企業HackerOneのプロフェッショナルサービスディレクターであるJosh Jacobsonは、「旅行業界に影響を与えているほとんどの脆弱性は、依然として『低くぶら下がっている果物』と見なされています。つまり、攻撃者が識別して悪用するのは比較的簡単です」と述べています。
「自動化されたツーが広くアクセス可能になったことで、攻撃者の参入障壁を大幅は下がり、クロスサイトスクリプティング(XSS)やオープンリダイレクト(open redirect)の欠陥などの一般的な脆弱性を悪用が加速しました。その結果、これらのタイプの攻撃の頻度は増え続けています。」
(注)オープンリダイレクトとは、Webアプリケーションの脆弱性の一種で、攻撃者が特定のWebサイトに偽装したリンクを作成し、そのリンクをクリックすることで、別の危険なWebサイトに誘導するもの
いわゆるXSS攻撃には、信頼できるWebサイトに悪意のあるコードが注入されることが含まれますが、オープンリダイレクトの欠陥には、Webサイトまたはアプリケーションがユーザーをリダイレクトするサイトを攻撃者が制御することが含まれます。
同様に、Identity Theft Resource Centerは、ほとんどのデータ侵害の根本原因として、ソフトウェアの欠陥の「大きな急増」を報告しています。「これらの攻撃は、多くの場合、他の身元犯罪やサイバー攻撃を実行するために正当なログイン資格情報を取得することを目的としており、攻撃者がセキュリティ保護をかいくぐってデータを盗むことができます」と社長のJames Leeは述べています。
消費者を教育する以外に、消費者が餌食になるのを防ぐためにできることはほとんどありません。最大のOTAの1社であるBooking.comの顧客は、アカウントが詐欺師に引き継がれたホテルからの支払いを要求する電子メールやメッセージでターゲットにされることがあります。偽のリストは別の問題です。
英国の消費者保護団体 Which?は「ホテルやホストがハッキングされた場合、受信したメッセージが本当にホテルからのものなのか、それとも詐欺師からのものなのかを知るのは非常に難しいかもしれません」と今年3月に公開した偽掲載に関する記事に書いています。
今年1月、Action Fraud(英国の詐欺とサイバー犯罪の国家報告センター)は、Booking.comプラットフォームを使用しているホテルアカウントからの異常なメッセージやフィッシングメールに注意するよう警告しました。2023年6月から2024年9月の間に、個人から532件の報告を受け、合計37万ポンドの損失が失われたと述べた。
「サイバーセキュリティは、すべてのデジタルセクターで大きな関心事であり、旅行も例外ではありません。Booking.comでは、この現実を深く認識しており、AIや機械学習などの高度なテクノロジーに継続的に投資して、脅威が影響を与える前に脅威を検出してブロックしています」とBooking.comの広報担当者はPhocusWireに語った。「私たちが実施している堅牢な対策とシステム、およびそれらを強化するための継続的な努力のおかげで、当社のグローバルな範囲とプラットフォームを介して促進するトランザクションの数を考慮すると、実際のインシデントはまれです。私たちはパートナーと旅行者の両方と定期的に連絡を取り合い、彼らを教育し、彼らがオンラインで安全で安心できるようにするための実用的なヒントを共有しています。」
サードパーティの警告 Third-party warning
旅行にとって迫り来るもう一つの脅威は、ブランドがリーチを拡大するための新しい方法を試しているため、消費者が休暇を予約するためのチャネルが増えているという事実です。
「旅行業界は、サプライヤーの数だけでなく、実際のプロセスフローの面でも非常に断片化されています」とChengは言いました。旅行販売業者は、ソーシャルメディアを含む新しい販売方法を常に探しており、それが問題を悪化させています。Identity Theft Resource CenterのLeeは、サードパーティベンダーは、大規模な組織のデータにアクセスできるが、大規模なエンティティと同じ堅牢なサイバーセキュリティ保護を欠いていることが多いため、サプライチェーン攻撃の標的になることが多いと考えています。
一方、「あまりにも多くのプラットフォームが顧客データに触れ、新しい統合のたびに攻撃面が増加します」と、メンバーシップやロイヤルティプログラムなどのクローズドユーザーグループ向けのSaaSプラットフォームであるCustom Travel Solutionsの創設者兼CEOであるMike Putmanは述べています。これは、2023年にシーザーズエンターテインメントが外部委託されたITサポートベンダーに対して「ソーシャルエンジニアリング攻撃」を受け、1,500万ドルの身代金の支払いにつながった場合でした。
HackerOneの最近のセキュリティレポートによると、旅行会社はマーケティングに大きく依存しており、しばしば紹介やアフィリエイトリンクを埋め込んでいるため、「オープンリダイレクトの脆弱性」は前年のレポートより92%増加しました。
「予約システム、支払いゲートウェイ、広告などのサードパーティサービスとの統合は、URLなどのユーザー入力が適切に検証されない場合、オープンリダイレクトの脆弱性のリスクを高める可能性があります」とHackerOneのJacobsonは述べています。
今すぐ盗み、後で解読する Harvest now, decrypt later
旅行会社は、多要素認証(multifactor authentication)やPayment Card Industry Data Security Standard(PCI DSS)準拠のソリューションなどのセキュリティ対策を正しく使用していますが、冗長になる可能性があります。
Chengの会社Post-Quantumは、量子安全なセキュリティ( quantum-safe security)とアイデンティティ ソリューションに焦点を当てたサイバーセキュリティ企業であり、彼は旅行業界が生体認証に依存していることに警鐘を鳴らしています。「AIと量子コンピューティングの進歩により、それは本当に大きな問題です」と彼は言いました。「私は、多くの銀行アプリやクレジットカードアプリが、『声や顔を使って認証できる』と謳っていますが、正直それは突破されるでしょう。今や、AIはこれらすべてを偽造できるのです。」
さらに将来的には、確実に数年、あるいは数十年先を見据えた、「今すぐ盗み、後で解読する(Harvest now, decrypt later)」と呼ばれる世界的な脅威についても警告しています。これは、ハッカーが大量の暗号化されたデータを盗み、将来のより強力なコンピュータが登場した時にそのデータを解読しようとするものです。
この問題は深刻で、2022年には、米国がQuantum Computing Cybersecurity Preparedness Actと呼ばれる超党派の法律を可決しました。 また、2024年に国立標準技術研究所(NIST)は、Post-Quantumを選択し、世界が公開鍵アルゴリズムを使用するハードウェア、ソフトウェア、サービスをどのように置き換えることができるかを検討しています。これは量子コンピュータによる将来的な攻撃からデータを守るためであり、サイバーセキュリティ上、存在論的に最も大きな脅威とされています。
Chengは、旅行業界では「認証(authentication)」よりも「証明(attestation)」の使用を推奨しています。認証により、ホテルのゲストはパスポートをスキャンするために渡すことができますが、これは誤用される可能性があります。証明では、IDが中央で安全に一元的に保管されており、チェックインの際には単に別の情報を提示するだけで済むかもしれません。「私は、訓練を受けたコンピュータ監査人ですが、理想は不完全な記録です」とchestは言いました。「情報にピースが不完全であれば、論理的にも数学的にもパズル全体を完成させることはできません。」
つまり機密情報が他の当事者によって保持されているため、彼は「悪意のある者は決してそれらをすべて結びつけることはできない」と主張します。この「分散型アイデンティティ」のトレンドは、例えばヨーロッパではすでにペースを上げていますが、米国でも20年の開発を経て今月、Real ID法が施行されました。
一方、Booking.comは、個人情報を非公開にするなど、安全を保つための実践的な手順に従うようお客様にアドバイスしています。「正当な取引では、顧客が電子メール、チャット、メッセージ、テキスト、SMS、電話でクレジットカードの詳細などの機密情報を要求することは決してありません」とこのOTAは述べています。
コストのかかるミス Costly mistake
詐欺を受けた企業には、深刻な結果が伴います。例えば、英国の小売業者Marks & Spencerは、4月のランサムウェアアタッチメントの影響で10億ポンドの価値(時価総額)が一掃され、英国の建設会社Arupは昨年のディープフェイク詐欺で2,500万ドルを失ったと報じられています。
旅行業界においては、風評被害も懸念材料です。
「サイバーセキュリティの費用対効果は常に悪者側に有利です」とHackerOneのJacobsonは述べています。「彼らは規範や法律に縛られていないため、防御側の数分の一のコストで攻撃できるのです。しかし、サイバーセキュリティソリューションの価値は、価格よりもはるかに多くのものがあります。サイバー犯罪による精神的・身体的被害、そして金銭的損害を防ぐことこそが、そのコストに見合う価値なのです。」
人々の力 People Power
しかし、詐欺に対する強力な、そしておそらく過小評価されている防御手段は「人」です。「ホテルが気づかないことが多いのは、従業員がフィッシング詐欺に引っかかっていることが、最も大きな脆弱性の一つだということです」と、最近、一般的な詐欺に関する独自のレポートを発表したホスピタリティテクノロジープロバイダーのCloudbedsは述べています。
たとえば、従業員が不動産管理やその他のクラウドベースのソフトウェアシステムにログインしようとする際、正しいソフトウェアのURLに直接移動する代わりに、Google検索でソフトウェア名を調べると、ソフトウェアプロバイダーのログインページを模倣するなりすましアカウントに誘導されてしまう。これは実際にはフィッシングサイトなのです。従業員がログイン情報を入力すると、ハッカーはホテルのアカウント全体にアクセスできてしまう。
したがって、ホテルができる最も重要なことの1つは、従業員に対してフィッシング詐欺やサイバーセキュリティに関する教育とトレーニングを受けるように義務づけることです。
「サイバーセキュリティの要は『人』です。つまり、最新かつ最高のテクノロジーだけに頼るだけは不十分なのです。最も安全なシステムでさえ、十分な情報を得て訓練を受けたスタッフがいなければ脆弱になります」と資産管理システムEviivoの最高技術責任者であるEric Whiteは語っています。
Phocuswright Europe 2025
6月10日から12日までバルセロナで、Booking.comの最高セキュリティ責任者であるMarnie Wilkingが、旅行者とパートナーの安全を守る方法と、攻撃を先取りするAIの役割について説明します。(5/20 https://www.phocuswire.com/cybersecurity-travel-data-online-threats?utm_source=newsletter&utm_medium=email&utm_campaign=Daily&oly_enc_id=9229H9640090J9N )
【記事提供:業界研究 世界の旅行産業】
