脅威アクターたちは2026 FIFAワールドカップを悪用する取り組みを急速に拡大しており、悪意ある基盤インフラは当初の推定をはるかに超えて拡張しています。
最近発見されたフィッシングキャンペーンは規模がほぼ3倍に拡大しており、当初のタイポスクワッティングドメイン79件から、確認済みの悪意あるサイト222件にまで増加しています。
ホスティングのフットプリントはさらに劇的な増加を見せており、わずか14件のIPアドレスから203件の固有IPへと急増しています。この巨大なエコシステムは、偽のチケット販売ポータル、コピーキャットのグッズ販売店、認証情報を詐取するログインページを特徴とし、FIFAの公式プラットフォームを巧みに模倣するよう精巧に設計されています。
当初の調査は、公式FIFAウェブサイトを直接なりすますドメインのみに焦点を当てていました。
しかし、より広範なパッシブDNS分析、証明書透明性ログ、およびWHOISデータを活用することで、研究者たちははるかに大規模な脅威の全体像を明らかにしました。
拡張データセットの約10パーセントには、WHOISプライバシーの秘匿化が失敗または完全にスキップされた、オペレーターを特定できる情報が含まれており、セキュリティチームに継続的な追跡のための具体的な手がかりを提供しています。
このキャンペーンは、トーナメントの開催が近づくにつれて活発に拡大しています。
拡張データから明らかになったのは、これが単一の中央集権的に管理された活動ではないということです。むしろ、同一のグローバルイベントを悪用する独立した脅威アクターによる分散ネットワークです。
これらのグループは詐欺キットのテンプレートを共有しながらも、まったく異なる登録パターンと活動上の特徴を維持しています。
研究者たちは、この詐欺ネットワークを主導する4つの具体的なオペレータークラスターを特定しています。
Flareの調査によると、このキャンペーンの技術的な構成は、テイクダウンの取り組みに対して大きな障壁をもたらしています。
203件の固有IPアドレスの80パーセント以上がCloudflareのリバースプロキシの背後に安全に隠れており、調査者から実際のオリジンサーバーを効果的に隠蔽しています。
Cloudflareを使用しているということは、観測された少数の共有IPクラスターが、偶然の共有ホスティングではなく、実際のオリジンインフラを指している可能性が非常に高いことを意味します。
さらに、複数のドメインにまたがって同一のTLS証明書を取得・展開していることは、個々のクラスター内での統一された展開戦略を強く示唆しています。
Cloudflareはすでにこれらのドメインのいくつかをフィッシングサイトの疑いがあるとしてフラグを立てており、このキャンペーンの悪意ある性質を裏付けています。
しかしながら、同様のドメインが数百件にわたってまだ活動中であり、サイトを1件ずつ分析するのではなく、キャンペーンレベルでの検出が必要であることを浮き彫りにしています。
この集中化は、防御側にとって戦略的な優位性をもたらします。GNAME.COMに提出された1件の十分な文書化された一括不正利用報告によって、既知のインフラのほぼ半数を即座に壊滅させることができます。
2026年ワールドカップの開催が近づくにつれ、単純なキーワード検出だけではもはや不十分です。
組織はタイポスクワッティングのトレンドを継続的に監視し、自動化されたテイクダウンワークフローを活用し、共有ホスティングのフィンガープリントを追跡することで、消費者をこれらの巧妙な詐欺組織から保護しなければなりません。
翻訳元: https://cyberpress.org/world-cup-phishing-surges/