2026年に開催されるFIFAワールドカップを標的としたサイバー詐欺が、早くも猛威を振るっています。セキュリティ研究機関やFBIからの警告によると、偽のチケット販売サイト、バンキングマルウェアを仕込んだ海賊版ストリーミングアプリ、そして巧妙なフィッシング詐欺を通じて、ファンが金銭的被害や個人情報漏洩のリスクに晒されている状況です。特に、チケットの需要が供給を大幅に上回る中で、詐欺師たちはファンの熱狂と焦りにつけ込み、その手口は日々巧妙化しています。観戦を予定している人々は、これらの脅威から身を守るための知識と対策が不可欠です。
FIFAワールドカップ2026を狙う巧妙な詐欺手口
FIFAワールドカップのような世界的なイベントは、常にサイバー犯罪者にとって魅力的な標的となります。2026年の大会に向けて、すでに数千もの不正なドメインが登録され、さまざまな手口でファンを欺こうとしています。
偽の公式サイトとチケット詐欺「GHOST STADIUM」
サイバーセキュリティ企業Group-IBの調査によれば、2025年8月以降、4,300を超える不正なFIFA関連ドメインが確認されています。その中心にあるのが「GHOST STADIUM」と名付けられた、中国語圏を拠点とする金銭目的の詐欺グループです。このグループは、単一のフィッシングキットを使い、300以上の偽サイトを運営しています。
これらの偽サイトは、FIFAの公式ウェブサイト「fifa.com」と見分けがつかないほど精巧に作られています。特に巧妙なのは、ログインページが本物のFIFAシングルサインオンシステム(PingIdentityが運用)を模倣しており、公式サイトから本物のクライアントIDをコピーして使用している点です。さらに、画像はFIFA自身のサーバーから直接読み込まれるため、偽サイトでありながら視覚的には完全に本物と一致し、コピー画像を検出するツールを回避してしまいます。
被害が発生するのは、この偽ログインページがパスワードのリセットを要求する点です。利用者が自身のログイン情報を入力すると、攻撃者はその情報を使って本物のFIFAアカウントを乗っ取り、アカウントに紐付けられたチケットを転売してしまいます。これらの詐欺サイトへの誘導は、主にFacebook広告を通じて行われ、TelegramやWhatsAppのリンク、さらには検索エンジンの結果にも表示されることがあります。
決済方法も多岐にわたり、直接のクレジットカード入力、外部決済ゲートウェイ、ChimeやNequiのような送金アプリ、メキシコ限定の決済処理業者、そして仮想通貨オプションが用意されています。特に仮想通貨での支払いを要求する販売者は、詐欺である可能性が極めて高い明確な兆候です。なぜなら、FIFAの公式チケット販売では仮想通貨を受け付けていないからです。Group-IBの推計では、プレミアムおよびホスピタリティチケットの詐欺だけで、7,100万ドルから4億7,400万ドルの損失が発生する可能性があり、キャンペーン全体では数十億ドル規模の被害に及ぶとされています。
多岐にわたる詐欺の種類と規模
詐欺の被害はチケット販売にとどまりません。FortiGuard Labsの調査では、1月から5月にかけて登録された13,000以上のワールドカップ関連ドメインのうち、約8.8%が悪質または疑わしいとされています。FBIも、スペルミスを利用した偽サイトや、偽のFIFA求人ページなど、数十もの不正ドメインについて警告を発しており、今後も増加すると予測しています。さらに、数千もの偽のソーシャルメディアアカウントも確認されています。
詐欺の種類も多様化しています。Group-IBは、偽造品を販売するオンラインショップ、サブスクリプション料金を徴収した上でマルウェアをインストールし、デバイスの制御を奪う不正なストリーミングサイト、さらにはパスポートのスキャン画像や自撮り写真を要求して個人情報を窃取する偽の賭博サイトを発見しています。Bitdefenderは、最大200万ドルの当選金を謳うFIFA宝くじ詐欺メールも確認しています。
さらに、「Phishing-as-a-service(サービスとしてのフィッシング)」市場の存在も指摘されており、既製の詐欺キットやチケット購入ボットが販売されているため、単一の詐欺業者を摘発しても問題の根本的な解決にはつながりにくい状況です。これらの詐欺は連携しており、偽ドメインがチケット検索を誘引し、広告や検索結果がトラフィックを誘導し、盗まれたパスワード情報がアカウント乗っ取りに利用され、不正なアプリが銀行詐欺へと繋がるという一連の流れを形成しています。
スマートフォンを狙うバンキングマルウェアの脅威
試合の無料ストリーミングを求めるファンにとって、スマートフォンは特に大きな危険に晒されています。悪意のあるアプリが、デバイスの制御を奪い、銀行口座から金銭を窃取する可能性があります。
海賊版ストリーミングアプリに潜む危険
サイバーセキュリティ企業ThreatFabricは、最近のチャンピオンズリーグ決勝戦の際、人気のある海賊版ストリーミングアプリ「RojaDirecta」を装った悪意のある非公式ストリーミングアプリが急増したことを報告しており、ワールドカップでも同様の、より大規模な事態を予測しています。Kasperskyは、これらのアプリがAndroidバンキングトロイの木馬と関連していることを突き止め、「Massiv」と「Perseus」という二つのマルウェアファミリーを特定しました。これらのマルウェアは、銀行アプリや仮想通貨アプリから金銭を抜き取ることを目的としています。
これらの悪意のあるアプリは、Google Playストアでは提供されていません。そのため、インストールするには、通常であれば表示される警告を無視して進む必要があります。一度インストールされてしまうと、マルウェアはAndroidのアクセシビリティツールを悪用してスマートフォンの制御を奪います。具体的には、正規の銀行アプリの上に偽のログイン画面を重ねて表示したり、ユーザーが入力した情報を記録したり、アカウント保護のために送信されるSMSや認証アプリからのワンタイムコードを傍受したり、さらには遠隔から画面を操作したりすることが可能になります。「Perseus」は、古いトロイの木馬「Cerberus」の流出したコードを基に構築されており、メモアプリに保存されたパスワードや仮想通貨のリカバリーフレーズまで読み取ることができます。
ThreatFabricは、ストリーミングアプリがアクセシビリティアクセスを要求する場合には、それが最も単純かつ明確な危険信号であると指摘しています。なぜなら、ストリーミングアプリがその機能に正当な理由でアクセスする必要はないからです。
ソーシャルメディアと公共Wi-Fiに潜む落とし穴
オンラインの脅威は、ウェブサイトやアプリだけにとどまりません。日常的に利用するソーシャルメディアや、開催都市の公共Wi-Fiにも、サイバー犯罪者の罠が仕掛けられています。
SNSでの偽広告とアカウント乗っ取り
ソーシャルメディアも詐欺で溢れかえっています。Bitdefenderは、FacebookやInstagram上で55を超えるサッカー関連の広告キャンペーンを発見しました。これらは、偽造ユニフォーム、偽のパニーニステッカー、そしてフィッシングページへと誘導するものです。これらの偽造品販売業者の一部は、広告追跡タグから中国の事業者と関連していることが判明しています。
Fortinetは、1,700以上の偽FIFAアカウントを特定しており、その約90%がFacebookとInstagramに存在していました。また、偽のFIFA求人広告やカレンダー招待を利用して、応募者を偽のGoogleログインページに誘導する手口も確認されています。さらに深刻なのは、Vidar、LummaC2、RedLineといった情報窃盗マルウェアによって収集されたデータの中に、数十万件のFIFAユーザーログイン情報や4,600件以上のFIFA関連ウェブアドレスが既に流通していることです。これらの情報は、アカウント乗っ取りやさらなる詐欺に悪用される可能性があります。
開催都市の公共Wi-Fiの危険性
ワールドカップ開催都市の公共Wi-Fiも、独自のセキュリティリスクを抱えています。Kasperskyがメキシコシティ、モンテレイ、グアダラハラで実施した調査では、公共ネットワークの10%から12%がパスワードなしのオープンな状態であり、約半数でWPS(Wi-Fi Protected Setup)ペアリング機能が有効になっていることが判明しました。これらの設定は、悪意のある「悪魔の双子(Evil Twin)」ホットスポットが本物のネットワークを模倣し、ユーザーの通信を密かに傍受するための容易な経路を提供してしまいます。
公共Wi-Fiを利用する際は、特に注意が必要です。銀行口座やメールアカウントなど、機密性の高い情報にログインする際には、モバイルデータ通信を利用するなど、可能な限り安全な接続方法を選択することが推奨されます。
サイバー詐欺から身を守るための具体的な対策
FIFAワールドカップ2026を安全に楽しむためには、以下の具体的な対策を講じることが重要です。
- 公式情報源のみを利用する:チケットや関連情報は必ずFIFAの公式ウェブサイト「fifa.com」から直接アクセスし、広告や検索結果のリンクを安易にクリックしないようにしましょう。URLを自分で入力することが最も安全です。
- 多要素認証(MFA)を有効にする:FIFAアカウントやその他の重要なオンラインサービスでは、パスワードだけでなく、スマートフォンアプリや生体認証などを組み合わせた多要素認証を設定し、セキュリティを強化してください。
- 仮想通貨での支払いを拒否する:FIFAの公式チケット販売では仮想通貨を受け付けていません。仮想通貨での支払いを要求する販売者は、詐欺であると判断して間違いありません。
- 不正なアプリに注意する:Androidスマートフォンでストリーミングアプリをインストールする際は、Google Playストア以外のソースからのダウンロードを避け、特にアクセシビリティアクセスを要求するアプリには警戒してください。ストリーミングアプリがアクセシビリティ機能を必要とすることは通常ありません。
- 公共Wi-Fiの利用に注意する:開催都市の公共Wi-Fiを利用する際は、機密性の高い情報を扱う操作(銀行取引やメールのログインなど)は避け、可能な限りモバイルデータ通信を利用しましょう。VPNを使用することも有効な対策です。
- 不審なメールやメッセージに警戒する:FIFA関連を装った不審なメールやメッセージには、個人情報やログイン情報を入力しないように注意してください。リンクをクリックする前に、送信元を慎重に確認しましょう。
セキュリティチームは、新たなFIFA関連ドメインや偽のログインページを監視し、情報窃盗マルウェアのログにスタッフや顧客のログイン情報が出現した場合は、迅速に対応する必要があります。また、チケット詐欺やチャージバックの急増に備える必要があります。Meta社も、FacebookでFIFAチケットを検索するユーザーに警告ポップアップを表示したり、Visaと協力して偽の賭博サイトに繋がるFacebookネットワークを停止したりするなど、対策を講じています。FBIは、詐欺の被害に遭った場合はIC3に報告するよう呼びかけています。
現時点でも、約3,800の不正なFIFAドメインが未使用のまま待機しており、既製の詐欺キットやボットが販売されていることを考えると、ワールドカップのチケット、ストリーミング、旅行の検索がピークを迎える6月11日から7月19日の期間は、特に警戒が必要です。
こんな人におすすめ
- FIFAワールドカップ2026の観戦を計画している人
- オンラインでチケットや関連グッズの購入を検討している人
- 無料の試合ストリーミングアプリを探している人
- サイバー詐欺の最新手口に関心がある人
まとめ
FIFAワールドカップ2026は、世界中のサッカーファンにとって待ち望まれた祭典ですが、同時にサイバー犯罪者にとっても絶好の機会となっています。偽のウェブサイト、巧妙なフィッシング詐欺、悪意のあるモバイルアプリ、そして安全でない公共Wi-Fiなど、多岐にわたる脅威が観戦者の金銭と個人情報を狙っています。これらの詐欺手口は日々進化しており、その巧妙さから見破ることが困難な場合も少なくありません。
しかし、公式情報源の利用を徹底し、多要素認証を導入し、不審なアプリや仮想通貨での支払いを避けるといった基本的なセキュリティ対策を講じることで、多くのリスクを回避できます。また、ソーシャルメディア上の情報や公共Wi-Fiの利用にも細心の注意を払うことが肝要です。セキュリティ機関やプラットフォーム提供者も対策を強化していますが、最終的に自身を守るのは個々のユーザーの警戒心と適切な行動です。ワールドカップの興奮に流されることなく、冷静な判断とセキュリティ意識を持って、安全にイベントを楽しみましょう。
