公表日:2026年3月19日
組織:株式会社ホテルプリンセス京都(ホテル日航プリンセス京都)
原因:Expedia管理者アカウントの不正利用
攻撃手法:不正アクセスおよびなりすましメッセージ送信(フィッシング誘導)
影響範囲:氏名、電話番号、宿泊日、宿泊金額など(Expedia経由予約の一部顧客)※クレジットカード情報は含まず
深刻度:中(個人情報の閲覧可能性あり・フィッシング被害誘発リスク)
分類:不正アクセス
本件は、外部予約サイトの管理者アカウントが不正利用され、顧客情報の閲覧とフィッシング誘導が行われた事案であり、外部サービス連携におけるアカウント管理リスクが顕在化したケースである。
事件概要
株式会社ホテルプリンセス京都は2026年3月、ホテル日航プリンセス京都において不正アクセスにより顧客情報が閲覧された可能性があると発表した。
同社によると、Expediaの管理者アカウントが第三者に不正利用され、従業員を装ったメッセージが送信されたという。
対象はExpedia経由で予約した一部顧客の氏名や電話番号、宿泊日などの情報で、クレジットカード情報は含まれていない。
不正ログインは検知後に遮断され、パスワード変更などの対応が実施されている。
本記事では、同社の公式発表をもとに内容を整理して掲載する。
分析
今回の事案では、外部予約サイトの管理者アカウントが不正利用され、顧客へのなりすましメッセージが送信された点が特徴といえる。
一般的にこのような事案では、認証情報の漏えいや管理不備を起点として第三者が正規アカウントを悪用するケースが見られる。
また、実在するサービスを装ったフィッシング誘導は利用者が正規の連絡と誤認しやすく、二次的な被害につながる可能性があるとされている。
企業側はログの確認や影響範囲の特定を進めるとともに、アカウント管理の見直しやセキュリティ対策の強化を行うのが一般的である。
今回の発表も、外部サービス連携における認証管理の重要性が改めて示された事案と考えられる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- 外部サービスのアカウント管理も重要なセキュリティ対策となる
自社システムだけでなく、予約サイトなど外部サービスの認証情報も適切に管理する必要がある。 - 正規サービスを装ったフィッシングに注意が必要
実在する企業名やサービスを利用したメッセージは信頼されやすく、利用者側の注意喚起が重要となる。 - インシデント発覚後は迅速な遮断と通知が行われる
不正アクセスが確認された場合、アカウント停止やパスワード変更、対象者への連絡が優先される。 - 個人情報の範囲ごとに影響評価が行われる
今回のようにクレジットカード情報が含まれない場合でも、氏名や連絡先などの情報について調査と公表が行われる。
関連事件
- 株式会社ビューティガレージ 不正アクセスで顧客情報漏えいの可能性 2026年2月 | セキュリティ事件簿#2026-057
- 株式会社コスモスイニシア 不正アクセスで取引先情報漏えい 2026年3月 | セキュリティ事件簿#2026-139
- 公益社団法人奈良市シルバー人材センター 不正アクセスで情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2026-138
- 東京都中小企業振興公社 不正アクセスで会員情報閲覧の可能性 2026年3月 | セキュリティ事件簿#2026-026
- 岩谷産業株式会社 不正アクセス発生 2026年3月 | セキュリティ事件簿#2026-137
公式発表(アーカイブ)
2026年3月19日リリース分:不正アクセスによるお客様の個人情報流出についてのお詫びとお知らせ
この度、ホテル日航プリンセス京都において、Expedia 社(本社:シアトル(米))の運営する予約サイト「Expedia」で予約された一部のお客様に対して、フィッシングサイト(※)へ誘導するメッセージが配信されたことが確認されました。当ホテルやExpediaではご予約いただいたお客様へのメールやチャットを用いて、クレジットカード情報を求めたり、お支払いを要求したりすることは行っておりませんので、ご注意くださいますようお願い申し上げます。お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。
※「フィッシングサイト」とは、不正な手法を用いて個人情報等を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。
■ お客様へのお願い(重要)
当ホテルやExpediaが、メッセージやメールにてお客様のクレジットカード情報の入力を求めることは一切ございませんので、不審なメッセージやメールに記載されたリンクは絶対に開かず、クレジットカード情報等を決して入力しないでください。
万一入力してしまった場合は、速やかにご利用のカード会社へご連絡ください。
■ 不正に閲覧された個人情報の範囲
2026年3月5日から2027年2月27日までの滞在期間にてExpedia経由で宿泊予約をされた一部のお客様の氏名、電話番号、宿泊日、宿泊金額 など
※クレジットカード情報は含まれておりません。
■事象の経緯
2026年3月2日に、第三者によって当ホテルのExpediaの管理者用アカウントが不正利用され、当ホテル従業員になりすまし、メッセージングアプリ「WhatsApp」※を通じて、お客様に対してクレジットカード情報の入力を求める偽メッセージが送信された事実を確認いたしました。
当該個人情報が不正に閲覧された可能性のあるお客様に対しては、同月上旬にExpedia社より、不審なメッセージ等への注意を促す内容の電子メールが配信されています。
また、当ホテルより同年3月18日に、個人情報が不正に閲覧された可能性のあるお客様のうち宛先が確認できたお客様へお詫びと注意喚起のメールを配信しております。
※「WhatsApp」とは、Meta 社(本社:カリフォルニア州(米))が提供する、世界180か国以上で利用される、無料のメッセージ交換/通話アプリの名称です。
■ 当ホテルの対応
当該不正ログインは速やかに検知・遮断され、それ以降の不正アクセスは確認されておりません。その後、当社は、パスワード変更等必要な措置を行い、当該アカウントは復旧済みとなっております。
今後はExpedia社および外部専門家と連携の上、管理画面内および宿泊施設に送られる不審なメールに対して、セキュリティ対策を強化することを含め再発防止に万全を期してまいります。
このたびは、お客様には多大なご迷惑とご心配をおかけしておりますこと、重ねて深くお詫び申し上げます。
■ お問い合わせ窓口
ホテル日航プリンセス京都 宿泊予約課
電話:075-361-5111 ※受付時間:10:00~17:00(日本時間)
メール:rsr@princess-kyoto.co.jp
※ご本人確認のため「ご予約番号/お名前/ご宿泊日」をお伺いします。