ポラリスHDの売上金口座が不正アクセス被害に：Booking.com連携システムが改ざんされ約900万円の損失

国内で100以上のホテルを運営するポラリス・ホールディングス株式会社（ポラリス社）が、世界最大級の宿泊予約サイト「Booking.com」と連携するシステム上の「グループアカウント」が不正アクセスを受け、甚大な被害に遭ったことが明らかになりました。被害の核心は、ホテルの売上金を扱う銀行口座情報が改ざんされていた点にあります。ポラリス社は、この被害について2026年5月28日に公式サイトで公表しました。具体的な経緯として、同社は2026年5月23日に、Booking.comシステム上の「グループアカウント」で異常を検知したと説明しています。調査の結果、傘下複数のホテルの売上金口座情報が改ざんされており、そのうち一つのホテルから資金の一部が不正な口座に振り込まれ、「現時点で約900万円の損失が発生している」と報告されています。さらに、口座改ざんが発生した時期と同時期には、宿泊予約客を標的としたフィッシング詐欺目的の不審メッセージも確認されており、広範囲な情報漏洩と詐欺行為が複合的に発生している状況が判明しています。これまでに、帝国ホテル、ホテルオークラ神戸、ホテルニューオータニ大阪、京王プラザホテルなど、多くの大手宿泊施設で同様の予約情報流出や不審メッセージの事例が確認されており、業界全体のリスクが深刻化していることが示唆されています。

---

背景

近年、オンライン予約システムを利用した金融情報や個人情報への不正アクセスが増加しています。特にホテル業界は、多額の売上金や顧客データを取り扱うため、サイバー攻撃の主要な標的となっています。ポラリス社の事例は、外部連携システム（Booking.comなど）を経由したサプライチェーン型の攻撃リスクを浮き彫りにしています。

重要用語解説

• Booking.com: 世界最大級の宿泊予約サイトの一つ。ホテルや宿泊施設と旅行客を結びつけるプラットフォームであり、今回の不正アクセスの起点となった外部システム。
• グループアカウント: ポラリス社がBooking.comシステム内で複数のホテルや事業をまとめて管理するために利用しているアカウント。このアカウントが不正アクセスされ、情報が改ざんされた。
• フィッシング詐欺: 正規のサービスや企業を装って偽のメッセージやウェブサイトを送りつけ、利用者の個人情報や認証情報を騙し取る詐欺行為。今回の不正アクセスと同時に発生した脅威の一つである。

今後の影響

本件は、ホテル業界における外部システム連携のセキュリティリスクの重大性を再認識させました。今後は、ポラリス社を含む関連企業に対し、システム認証の強化、多要素認証（MFA）の導入、および外部連携システム全体のセキュリティ監査が強く求められるでしょう。顧客への情報開示と被害防止策の徹底が急務です。