ホテル日航プリンセス京都が不正アクセス被害、 Expedia 経由の予約客の個人情報が漏えい

株式会社ホテルプリンセス京都は、運営する「ホテル日航プリンセス京都」が利用している予約サイト「Expedia」の管理者用アカウントへの不正アクセスが発生し、顧客情報の漏えい及びフィッシングサイトへ誘導するメッセージが送信されたことを、2026年3月19日に公表しました。

公表によると、同年3月2日にExpedia社の運営する予約サイト「Expedia」の管理者用アカウントを第三者が不正利用して従業員になりすまし、Meta社が運営するメッセージアプリ「WhatsApp」を通じてクレジットカード情報の入力を求める偽メッセージを送信した事実が確認されたとのことです。

漏えいした情報は、2026年3月5日から2027年2月27日までの滞在期間にて同予約サイト経由で宿泊予約を行った一部顧客の氏名、電話番号、宿泊日、宿泊料金等です。なお、クレジットカード情報は含まれていないとしています。

同ホテルは不正ログインを検知後直ちにアクセスを遮断し、それ以降の不正アクセスは確認されていないとしています。その後、パスワードの変更等措置を実施しており当該アカウントは復旧済みです。

また、3月18日には対象となる顧客に対して、同社からお詫び及び注意喚起のメールを配信しており、今後はExpedia社及び外部専門家と連携し、不審なメールに対するセキュリティ対策強化等、再発防止に努める方針を示しています。