サイバー攻撃の脅威アクターとなる「FIFAワールドカップ2026」

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「「FIFAワールドカップ2026」を標的とするサイバー犯罪者」を再編集したものです。

米国時間2026年6月4日に掲載されたフォーティネットブログの抄訳です。

2026年6月11日より開催された「FIFAワールドカップ」は、ファン、チーム、スポンサー、放送事業者、ホスピタリティプロバイダー、そして企業を一つに結び付ける、世界最大級のスポーツイベントです。しかしワールドカップは、サイバー犯罪者にとっても大きな機会となります。

大規模な国際スポーツイベントは、大きな関心を集め、膨大な検索トラフィックを生成し、強い感情的反応を引き起こし、大量のデジタル取引を発生させます。ファンはチケット、観戦旅行プラン、グッズ、ライブ配信、ベッティング情報、求人情報、イベントの最新情報などのサイトを積極的に検索しています。一方で、組織は、物流、スタッフ手配、旅行調整、カスタマーサポート、メディア対応、サードパーティとの調整などに追われています。脅威アクターはこうした状況を想定し、すでに攻撃を開始しています。

FortiGuard Labsによる新たな調査では、「FIFAワールドカップ2026」に関連するサイバー犯罪インフラがすでに稼働していることが明らかになりました。2026年1月から5月にかけて、「FIFAワールドカップ2026」をテーマとした新規ドメインが13,000件以上登録されています。また、これらのドメインの約8.8%が、パターン分析および詐欺活動の観点から悪意のあるまたは不審なドメインとして特定されています。

この規模は、脅威アクターが開幕戦を待つことなく、すでにインフラ構築と攻撃準備を進めていることを示しています。脅威アクターはすでに攻撃を開始しています。

急速に拡大する脅威環境

FortiGuard Labsの調査により、2026年3月から5月にかけて、FIFA関連ドメインの登録数が大幅に増加していることが明らかになりました。これらの多くはFIFAブランドを不正に利用しており、ドメイン名にはチケット販売、ストリーミングサービス、ベッティングプラットフォーム、ホスピタリティ関連の用語が含まれています。

脅威アクターは、チケット購入、転売チケット、試合のライブ配信、観戦旅行パッケージ、公式グッズなどを検索するファンが、数秒見ただけで信頼してしまうような、正規サイトに見せかけた偽サイトを数百件規模で構築しています。そして、その「数秒間」でユーザーの判断が完了してしまうことが、攻撃者にとって十分な機会となります。

本レポートでは、FIFAをテーマとした脅威を以下の主要カテゴリに分類しています。

・フィッシングおよび偽チケット販売サイト
・Telegramなどのチャネルを通じて拡散される転売チケット詐欺
・偽のグッズ販売サイト
・悪意のあるベッティングおよびストリーミングアプリケーション
・マルウェア感染のリスクがあるサードパーティのAndroidパッケージキット(APK)のダウンロード
・ソーシャルメディアのなりすましアカウント
・偽の求人および採用情報を装ったルアー
・暗号資産詐欺および偽のエアドロップキャンペーン
・スティーラーマルウェアおよび過去の侵害データに起因する認証情報の流出

これらの調査結果は、ワールドカップを中心に広範なサイバー犯罪エコシステムが形成されつつあることを示しています。この脅威は、さまざまな詐欺手口、プラットフォーム、被害者層に広がっています。

偽チケット販売は依然として最もリスクの高いルアーの一つ

手に入りにくいチケットを悪用した詐欺は、特に目立つ脅威の一つとなっています。公式チャネルでチケットを入手できなかったファンは、転売サイト、SNSグループ、Telegramチャンネル、検索広告、あるいは個人間取引のマーケットプレイスへと流れる傾向があります。攻撃者は緊急性を煽り、期間限定の偽割引を提示することで、被害者に急いで判断するように迫ります。

FortiGuard Labsは、FIFA公式ページを偽装し、個人情報、ログイン情報、請求先情報および決済情報を収集する複数の偽チケット販売サイトを確認しています。ある事例では、2026年5月に登録されたドメインがFIFA公式サイトのコンテンツを複製し、偽の決済画面から被害者の機密情報を大量に収集していました。

また本レポートでは、アンダーグラウンドフォーラムやTelegramチャネル上で宣伝されるチケット詐欺についても伝えています。一部のキャンペーンでは、偽チケットに加えて、偽の航空券やホテル予約を組み合わせることで、詳細で信頼性の高いサービスのように見せかけています。

これらの詐欺が成立する理由は、ファンの典型的な行動を想定している点にあります。チケットを購入しようとするユーザーは、セキュリティアナリストのような視点を持ち合わせていません。彼らの目的は、チケットが霧散する前に手に入れることです。

攻撃対象領域を拡大するソーシャルメディアのなりすまし

FortiGuard Labsは、SNSプラットフォームで、FIFAへのなりすましと考えられるアカウントおよびチャネルを1,700件以上確認しました。これらのうち約90%はFacebookおよびInstagramで確認されています。

これらのアカウントは、偽の販促、チケット詐欺、不正なライブ配信リンク、フィッシング、偽情報の拡散、マルウェアの配信などに悪用される可能性があります。さらに、ファンはチーム、試合、旅行計画、チケットの入手状況などについて頻繁にやり取りするため、これらのアカウントやチャネルは攻撃者にとって、ファンへ直接接触するための低コストの手段でもあります。

ソーシャルメディア上の詐欺は、何気ないやり取りの中に紛れ込むため、特に信頼性が高く見える傾向があります。例えば、ファングループ内での偽チケット販売者、試合直前に共有される偽のライブ配信リンク、あるいはFIFAブランドを装ったアカウントなどは、クリックを誘発するのに十分な信頼性があるように見えることがあります。

マルウェアもワールドカップ関連の脅威の一つ

本レポートでは、ワールドカップ関連の悪意あるアプリケーションについても指摘しています。検知された実行ファイルの一つである「1xbet.exe」には、永続化、暗号化通信、およびランサムウェアのような動作の兆候が確認されています。さらにFortiGuard Labsは、サードパーティのダウンロードサイトで、FIFAをテーマにした不審なAPKファイルも発見しています。

これは重要なポイントです。なぜなら、大規模スポーツイベントではベッティングアプリやライブ配信ツール、試合速報アプリ、販促アプリの需要が急増するためです。攻撃者はこの需要につけこみ、正規アプリに見せかけた偽アプリやトロイの木馬に感染したソフトウェアを配信します。

公式以外のサイトからアプリをインストールすることは、スパイウェア、認証情報の窃取、リモートアクセスツール、その他のマルウェアへの感染などのリスクがあります。ユーザーがストリーミング配信、販促、ベッティングプラットフォームへアクセスするためにセキュリティ警告を無視する場合、このリスクはさらに高まります。

求職者を標的にした偽の求人情報

ワールドカップは、臨時スタッフ、契約社員、ホスピタリティスタッフ、物流担当者、メディアサポートスタッフ、イベント関連職など、さまざまな短期的な労働需要を生み出します。この需要は、攻撃者にとっても新たな魅力的な標的となります。

例えばFortiGuard Labsは、FIFA関連の偽求人広告やスポンサー企業の採用情報を悪用し、認証情報を窃取するスキームを確認しています。攻撃者はカレンダー招待を送信し、被害者を偽のGoogleログインページを含むフィッシングWebサイトへ誘導していました。被害者が認証情報を入力すると、一般的なエラーメッセージが表示され、その間に攻撃者が情報を取得する仕組みになっています。

FIFA、スポンサー企業、協賛組織になりました複数のドメインが、同一のGoogle AnalyticsトラッキングIDを共有していることから、組織的なキャンペーンである可能性があります。認証情報を窃取するこのプロセスではRenderでホストされたAPIが利用されており、攻撃者が正規のクラウドサービスを悪用することで、悪意のあるインフラをより容易に展開し、通常のWebトラフィックとの判別を困難にしています。

認証情報の流出がリスクをさらに高める

レポートでは、スティーラーログのテレメトリ内においても、FIFAに関連する活動の痕跡が確認されています。FortiGuard Labsは、Vidar、LummaC2、RedLineといったマルウェアファミリーに関連するスティーラーログの中から、FIFAに関連するURLを4,600件以上検知しました。さらに、区切り形式のスティーラーログデータからは、FIFAの従業員に関連する認証情報260件以上、ならびにFIFA関連Webサイトにアクセスしたユーザーやファンに関する27万件以上の認証情報が確認されています。

加えてFortiGuard Labsは、過去の侵害データセットにおいても、FIFA関連の従業員および組織アカウントに関する1,500件以上のレコードを発見しました。

これらの流出したすべてのアカウントが現在も有効である、あるいは実際に悪用されていることを意味するものではありません。しかし攻撃者は現在、クレデンシャルスタッフィング、アカウント乗っ取り、標的型フィッシング、なりすまし、詐欺などを可能にするデータへアクセスできる状況にあります。大規模な国際イベントの期間中は、古い認証情報であっても、新たなソーシャルエンジニアリングの手法やルアーと組み合わせることで悪用される可能性があります。

今すぐ取るべき対策

「FIFAワールドカップ2026」に関連する脅威環境は、大規模イベントが始まる前段階からすでにサイバーリスクを生み出すことを示しています。そのため、スポーツ、旅行、ホスピタリティ、メディア、小売、金融、政府機関、交通、重要インフラといった各業界の組織は、早期から防御の準備を整える必要があります。

セキュリティチームは、類似ドメイン、ブランドなりすまし、悪意のある広告、偽のソーシャルメディアアカウント、従業員、パートナー、顧客に関する認証情報漏洩などを継続的に監視する必要があります。また、フィッシング、マルウェア、認証情報窃取、アカウント乗っ取りに対する保護機能についても評価すべきです。

ユーザーへの教育も重要です。ファンおよび従業員には、公式のチケット販売チャネルの利用、サードパーティAPKの回避、ライブ配信リンクへの注意、公式サイトによる求人情報の確認、そして不審な緊急支払いの要求に警戒することが求められます。

防御側にとって最も重要な教訓は明確です。攻撃者は、人々の関心が集まるイベントを必ず悪用します。「FIFAワールドカップ2026」が世界的な注目を集める中、サイバー犯罪者はすでにその関心に便乗するためのインフラを構築しています。こうした脅威を前提に、早期の対策を進める必要があります。
 
レポート全文を読む:FortiGuard Labsのレポート「FIFAワールドカップ2026:サイバー脅威レポート」では、新たに登録されたドメイン、悪意のあるインフラ、なりすましアカウント、偽チケット販売サイト、求人詐欺、マルウェア活動、認証情報の流出、アンダーグラウンドフォーラムでの活動、さらにはワールドカップに便乗したキャンペーンで使い回されているインフラについて詳細に分析しています。

■関連サイト

Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります