2026年FIFA ワールドカップを狙ったフィッシング活動の規模は劇的に拡大しており、新しい研究により、当初報告されたよりもはるかに広範でより複雑な脅威状況が明らかになりました。
79個の悪質ドメインのクラスタから始まったものは、現在222個のドメインに拡大し、203個のユニークIPアドレスにマッピングされた分散フィッシングエコシステムに進化しており、ドメイン数をほぼ3倍に増やし、ホスティングインフラストラクチャを14倍以上増加させています。
パッシブDNSデータ、証明書の透明性ログ、およびWHOIS分析の強化を使用したフォローアップ分析によると、特定された222個のドメインのうち206個が現在アクティブです。
特に注目すべきことに、2026年4月1日から4月17日の間に52個の新しいドメインが登録され、トーナメントが近づくにつれてキャンペーンが減速するのではなく加速していることを示しています。
集中制御に依存する従来のフィッシングキャンペーンとは異なり、この操作は分割されています。研究者は少なくとも4つの異なるオペレーターのクラスタを特定しており、それぞれが異なるインフラストラクチャパターン、ドメイン登録の動作、および帰属マーカーを持っています。
これは、複数の独立した脅威アクターが、FIFAの公式プラットフォームを模倣するように設計された共有フィッシングキットを活用していることを示唆しています。
flareによると、インフラストラクチャは高度に分散しており、203個のユニークIPアドレスに解決されます。これらのドメインの約80.6%はCloudflareを通じてルーティングされており、攻撃者がリバースプロキシサービスの背後に元のサーバーをマスクできます。これはテイクダウンと帰属の努力を大幅に複雑にします。
IPのより小さいサブセットは複数のフィッシングドメインをホストしており、以下を含みます:
- 38.246.249.74が8個のドメインをホストしている。
- 154.39.81.213が6個のドメインをホストしている。
- 148.178.16.48が5個のドメインをホストしている。
さらに、複数のドメイン間で再利用されたTLS証明書は、共有バックエンドインフラストラクチャを示し、一見すると別のフィッシングサイト間のリンクを強化しています。
ワールドカップフィッシング急増
このキャンペーンは単一の調整された操作ではなく、少なくとも4つのクラスタの集合です:
- クラスタA:「fifa.com」ドメインの直接的なタイポスクワッティングに焦点を当てており、fifa-com.vipおよびww-fifa.vipなどが含まれ、主にGNAME.COMを通じて登録され、チケット詐欺ページで積極的に使用されています。
- クラスタB:共有された登録者メールと身元に結びついた一般的な.shopドメイン(例:floridagiftssw.shop)を使用し、ワールドカップフィッシングコンテンツをホストするために転用されています。このクラスタは古いドメインを含み、信頼性を向上させ、検出メカニズムをバイパスしています。
- クラスタC:共有されたGmailの識別子で登録された小さな.cnドメインのグループで、地理的に異なるオペレーターを示唆しています。
- クラスタD:「888 World Cup Management Co Ltd」などの偽の組織的アイデンティティを使用して、ドメイン登録に正当性を追加しています。
この分散モデルは、フィッシングキットが地下コミュニティ全体で再利用または販売される成長トレンドを反映しており、複数のアクターが同時に迅速なスケーリングを可能にしています。
拡張されたデータセットは26個のレジストラを含みますが、いくつかが支配しています:
- GNAME.COMはドメインの42.3%を占めています。
- GoDaddyが18.9%に続きます。
- その他にはSpaceship、WebNIC、Alibaba Cloudが含まれます。
この集中は、主要なレジストラをターゲットとした調整されたテイクダウン努力がキャンペーンを大幅に中断できることを示唆しています。
Cloudflareはすでにfifa-com.storeおよびfifa-com.siteを含む複数のドメインをフィッシングとしてフラグを立てており、悪意のあるコンテンツの代わりに警告ページを提供しています。しかし、これはインフラストラクチャ全体のわずかな割合を表しており、ドメインごとの検出の制限を強調しています。
このキャンペーンは、FIFA ワールドカップのようなグローバルなイベントがサイバー犯罪者に利益をもたらす機会をどのように作成するかを示しています。スケーラブルなフィッシングキット、分散インフラストラクチャ、およびアイデンティティ難読化技術の使用により、攻撃者は従来の防御を迅速に回避しながら操作を拡張できます。
組織とユーザーにとって、主なリスクは、チケットポータル、マーチャンダイズストア、および認証情報と支払いデータを収集するように設計されたログインページを含む、公式FIFAサービスの非常に説得力のあるレプリカにあります。
2026年のトーナメントが近づくにつれて、セキュリティチームは類似ドメインの積極的な監視を優先し、ブランド保護戦略を実装し、ユーザーに詐欺的なウェブサイトを特定することを教育する必要があります。
翻訳元: https://gbhackers.com/world-cup-phishing-surge/
