不正アクセスから、ゲストのカード情報を取得しようとするメッセージが送信されるという複数事案の発生に伴い、現在、緊急的な措置として事前チェックイン URL など、一部の URL 以外がメッセージ内に含まれている場合に以下メッセージが自動挿入されます。
---
このメッセージには外部リンクが含まれています。安全のため、クレジット カード情報の入力を求められた場合は、ホテルに直接確認して信頼性を確認してください。
---
ログ解析から、いずれの不正アクセスもブルートフォース攻撃(総当たり攻撃)のような攻撃は行われておらず、不正アクセス者は、ユーザーアカウントのパスワードをなんらかの方法で取得し、ログインエラーなしで正常ログインしています。 パスワードの流出方法について、弊社としても想像するしかないですが、クラウドなどに保存されているログイン・パスワードの流出や、他のサービスから流出したログイン・パスワードが同じ組み合わせで利用されているケースなどがあるかもしれないと考えておりますが、もちろん正確なところは分かりません。
また、不正アクセスにより送信される URL を自動的に判別することは困難であるため、ゲストの安全を第一に考え、現在は一律の処置となっております。
今後の改善ですが、全ユーザーの 2FA の有効化、一定期間でのパスワード変更などセキュリティ対策を向上するとともに、安全と確認された URL のホワイトリスト化を進めていきます。 このホワイトリストに登録された URL に関しては、上記の警告メッセージを挿入しないという仕組みになります。 機能の準備には数ヶ月が必要となります。 可能な限り早期のご提供が出来るよう努力します。
ユーザー様には、ご不便をお掛けし申し訳ありませんが、ご理解のほどよろしくお願いいたします。