セキュリティ研究者とFBIは、FIFAワールドカップ2026のファンが、6月11日のキックオフ数日前に、FIFAをテーマにした詐欺の波にすでに直面していると警告しています。 最近の報告によると、数千ものFIFAに似たドメイン、海賊版ストリーミングアプリに隠されたバンキングマルウェア、そしてFIFAのログインページを巧妙にコピーして実際のアカウントを乗っ取る少なくとも1つの作戦が確認されています。 これは明白な標的です。米国、カナダ、メキシコ全土の16都市に600万人以上のファンが訪れると予想されており、FIFAによると、最初の15日間で1億5000万件以上のチケットリクエストがあり、大会は需要が供給を約30倍も上回っています。チケットは入手困難で、ファンは切望しており、お金は急速に動いています。これはまさに詐欺師が悪用する状況です。  ## 1つのオペレーター、300のFIFAサイトのクローン 最も詳細な発見はGroup-IBによるもので、2025年8月以降に登録された4,300以上の不正なFIFAドメインを追跡しました。その中心には、彼らがGHOST STADIUMと呼ぶ、中国語を話す金銭目的のオペレーションがあり、それらのサイトの300以上にわたるフィッシングキットを展開しています。 偽物は非常に洗練されています。ページはfifa.comのほぼ完璧なコピーであり、PingIdentityが管理するFIFAの実際のシングルサインオンログインを、ライブサイトからコピーされた実際のクライアントIDまで模倣しています。画像はFIFA自身のサーバーから直接読み込まれるため、ページは本物のように見え、コピーされた画像をフラグ付けするツールを回避できます。 重要なのは、偽のログインページはパスワードのリセットも促すことです。被害者が詳細を入力すると、攻撃者はそのFIFAアカウントから被害者をロックアウトし、それに紐付けられたチケットを転売できます。  トラフィックの大部分はFacebook広告から発生しており、同じトラッキングコードがクラスター全体で再利用されています。また、Telegram、WhatsApp、検索結果にもリンクがあります。サイトは5つの異なる方法で支払いを受け付けます：直接カード入力、外部決済ゲートウェイ、ChimeやNequiのような送金アプリ、メキシコ限定のプロセッサー、そしてカード決済を仮想通貨に変換する仮想通貨オプション（回収がはるかに困難です）。 この最後のオプションは、FIFAの公式チケット販売では仮想通貨を受け付けていないため、便利な手がかりとなります。それを要求する販売者は詐欺です。 Group-IBは、プレミアムおよびホスピタリティチケット詐欺だけでも7100万ドルから4億7400万ドルの潜在的損失を推定しており、キャンペーン全体で数十億ドルに達する可能性を示唆しています。これらは観測されたインフラストラクチャに基づいた推定であり、確認された損失ではありません。 ## フィッシングを超えて：詐欺の洪水 脅威の状況は、Group-IBの発見を超えて広がっています。FortiGuard Labsは、1月から5月にかけて13,000以上のワールドカップをテーマにしたドメインをカウントし、そのうち約8.8％が悪意のあるまたは疑わしいと特定されました。 FBIの勧告には、スペルミスのある類似ドメインから偽のFIFA求人ページまで、数十の偽FIFAドメインがリストされており、さらに多くのドメインが出現していると警告しています。他の研究者も、数千の類似サイトと1000以上の偽ソーシャルアカウントをマッピングしています。 チケット詐欺は問題の一面にすぎません。Group-IBはまた、偽のグッズショップ、サブスクリプション料金を請求してマルウェアをインストールする偽のストリーミングサイト、そしてパスポートスキャンと自撮り写真を個人情報盗難のために収集する偽のベッティングサイトを発見しました。 Bitdefenderは別途、最大200万ドルの賞金を約束するFIFA宝くじメールを追跡しました。Group-IBはまた、既製の詐欺キットとチケット購入ボットを販売する「フィッシング・アズ・ア・サービス」市場を指摘しており、個々のオペレーターの排除はほとんど効果がありません。  これらの要素は組み合わさっています。偽のドメインがチケット検索を捕捉し、広告と検索結果がトラフィックを誘導し、盗まれたパスワードのダンプがアカウント乗っ取りを供給し、サイドロードされたアプリがストリームハンティングを銀行詐欺に変えます。 ## ストリーミングアプリに潜むバンキングマルウェア 無料の試合ストリームを探しているファンにとって、より大きな危険はしばしばモバイルデバイスに潜んでいます。ThreatFabricは、最近のチャンピオンズリーグ決勝戦の頃、人気のRojaDirectaを装った不正な非公式ストリーミングアプリの急増を観測しました。彼らはワールドカップ中にさらに大規模な繰り返しを予想しています。 Kasperskyは、これらの同じアプリをAndroidバンキングトロイの木馬、つまりバンキングおよび仮想通貨アプリから資金を吸い取るように設計されたマルウェアに関連付けています。彼らは2つの主要なファミリー、MassivとPerseusを特定しました。これらのアプリはGoogle Playでは利用できないため、インストールには標準的なセキュリティ警告をバイパスする必要があります。 インストールされると、マルウェアはAndroidのアクセシビリティツールを利用して電話を制御します。正規のアプリケーションの上に偽の銀行ログイン画面をオーバーレイしたり、キーストロークを記録したり、テキストメッセージや認証アプリからのワンタイムパスワード（OTP）を傍受したり、画面をリモートで制御したりできます。  特に、古いトロイの木馬Cerberusの漏洩したコードに基づいて構築されたPerseusは、メモ取りアプリから保存されたパスワードや仮想通貨リカバリフレーズを読み取ることさえできます。ThreatFabricによると、最も単純な赤信号は、ストリーミングアプリがアクセシビリティアクセスを要求することであり、正当な理由はありません。 ## ソーシャルエンジニアリング、盗まれた認証情報、および公共Wi-Fiのリスク ソーシャルメディアプラットフォームも同様に詐欺で混雑しています。Bitdefenderは、FacebookとInstagramで55以上のサッカーをテーマにした広告キャンペーンを発見し、偽のキット、偽のパニーニステッカー、フィッシングページを宣伝しました。グッズ販売事業のうち2つは、広告トラッキングタグを通じて中国のオペレーターに追跡されました。 Fortinetは、1,700以上のなりすましFIFAアカウントをカウントし、そのうち約90％がFacebookとInstagramで見つかりました。また、偽のFIFA求人広告とカレンダー招待を使用して応募者を類似のGoogleログインページに誘導するスキームもありました。  盗まれたFIFAログイン情報はすでに流通しています。Fortinetは、Vidar、LummaC2、RedLineのような認証情報窃盗マルウェアによって収集されたデータから、数十万のユーザーログインと4,600以上のFIFAウェブアドレスを発見しました。 開催都市のWi-Fiネットワークは、それ自体で問題を引き起こします。公共Wi-Fi、特に保護されていないネットワークは、攻撃者によってデータを傍受したり、マルウェアを配信したり、中間者攻撃を実行したりするために容易に悪用される可能性があります。ユーザーは細心の注意を払い、公共ネットワークに接続する際にはVPNの使用を検討する必要があります。