2026 FIFAワールドカップは史上最大のスポーツイベントになると見込まれているが、サイバー犯罪者はすでにフィールドに押し寄せている。北米各地でチケットを求める数百万人のファンを狙い、詐欺の巨大なエコシステムが形成されている。
Group-IBの脅威インテリジェンス研究者は、FIFAの公式ウェブサイトになりすました4,300以上の不正ドメインを特定した。
この大規模な活動の中心にいるのは、「GHOST STADIUM」と呼ばれる金銭目的の中国語話者の脅威アクターだ。
このグループは高度に洗練されたフィッシングキャンペーンを展開し、世界中のファンを標的にしており、被害額は数億ドルに達する可能性がある。
GHOST STADIUMは単純でわかりやすい詐欺には頼らない。その代わり、認証情報・個人情報・金銭を盗み出すために精巧に作り込まれたフィッシングキットを構築している。
このカスタムウェブアプリケーションはFIFAの公式サイトをピクセル単位で再現したクローンであり、FIFAのコンテンツデリバリーネットワークから直接取得した本物の画像と、11言語に対応する多言語サポートを備えている。
技術的な実装は非常に高度だ。攻撃者は正規のクライアントIDを使用して、PingIdentityが提供するFIFAの公式シングルサインオン(SSO)サービスを巧みに再現した。
ファンがログインやチケット購入を試みると、システムはユーザー名・パスワード・機密連絡先情報を取得する。このフィッシングキットはパスワードリセットの承認まで行い、攻撃者がユーザーをアカウントから締め出し、既存の正規チケットを奪うことを可能にしている。
研究者の試算によると、プレミアムチケット詐欺だけで被害額は7,100万ドルから4億7,400万ドルに上る可能性があり、大会が近づくにつれてキャンペーン全体の損失は数十億ドルに達する可能性もある。
ピッチ上の脅威はGHOST STADIUMだけではない。今回の調査では、さらに3つの脅威アクターグループと、「フィッシング・アズ・ア・サービス」(PhaaS)キットを販売するダークウェブ上の活発なサプライチェーンが明らかになった。
これらのアクターが連携して複数の並行詐欺スキームを展開し、あらゆるタイプのサッカーファンを狙っている。
特筆すべき点として、情報窃取マルウェアの広範な感染により、2,500件以上の有効なFIFA認証情報ペアがすでにダークウェブ市場で出回っているとGroup-IBは述べている。
このような規模のキャンペーンに対抗するためには、縦割りのセキュリティ対応から脱却する必要がある。何千もの予備ドメインが待機している状況では、単一ドメインを削除しても効果は薄い。
「サイバー詐欺フュージョン」のような統合防御モデルが不可欠だ。この戦略は、継続的なデジタルリスク保護・脅威インテリジェンスの共有・迅速な資金差し止めを組み合わせたものだ。
重複するSSL証明書・Metaピクセルコード・暗号資産ウォレットなどの共有インフラをセキュリティチームが追跡することで、キャンペーン全体を同時に妨害し、開幕の笛が鳴る前にファンを守ることができる。
翻訳元: https://cyberpress.org/ghost-stadium-targets-fans/
