ホテル予約サイトの受託運営などを手がけるフランスのFastbookingは6月26日、同社サーバに対する不正アクセスが原因で、日本の401の宿泊施設に予約したユーザーの個人情報とクレジットカード情報が漏えいしたと発表した。漏えい規模は32万5717件に達する。
この事件では、Fastbookingに外国語の予約サイトの運営を委託していたプリンスホテルで12万4963件の情報が漏えい。「リッチモンドホテル」を運営するロイヤルホールディングスもFastbookingに英語の予約サイトの運営を委託していたといい、31の施設で計6281件の情報が漏えいしたと発表した(報道発表PDF)。
Fastbookingの日本法人によると、不正アクセスによる情報漏えいは、日本時間6月15日と17日の2回発生し、15日は380施設の暗号化されていない20万5137件の個人情報が漏えい、17日は189施設の暗号化していた12万580件のクレジットカード情報が漏えいした。168施設については2回とも被害を受けたとしている。
国内の対応では、クレジットカード会社を通じて対策を講じているとし、27日午前の段階でカード不正使用などの被害は確認されていないという。
不正アクセスを受けたシステムはフランスで管理され、現地の捜査当局などが不正アクセスに至った詳しい原因など調査中だという。同社は、既に「不正アクセスは隔離され、攻撃ベクトルは排除されており、不正アクセスモードは既に修正済み」とし、被害の拡大はないとの見方を示している。
なお、日本の被害企業数や日本以外の被害の有無については、顧客情報に当たることや日本が対象ではないとの理由で、状況を明らかにしていない。