米連邦捜査局(FBI)は2026年5月27日、公共サービスアナウンスメント「Alert I-052726-PSA」を発表し、脅威アクターが2026 FIFAワールドカップを前にFIFAをテーマにしたウェブサイトへのなりすましキャンペーンを積極的に展開していると警告した。
このキャンペーンは、公式FIFAウェブサイトに酷似した偽ドメインにユーザーを誘導することで、トーナメントへの世界的な関心を悪用することを目的としている。
偽装ウェブサイトは正規のFIFAプラットフォームの外観やブランドを模倣しており、偽のチケット販売、求人情報、グッズ販売ポータルを掲載していることが多い。
主な目的は、氏名、住所、電話番号、メール認証情報、金融データといった個人を特定できる情報(PII)の収集である。また、実在しないワールドカップチケットや偽のホスピタリティパッケージの販売など、不正な取引を行う事例も複数確認されている。
攻撃手法は主にタイポスクワッティングとドメインなりすましに依拠している。サイバー犯罪者は正規URL「fifa.com」のわずかな変形を含むドメインを登録し、スペルミス、追加ワード、または代替トップレベルドメイン(TLD)を使用する。
FBIが確認した例としては、fifa[.]pink、fifa[.]ceo、filfa[.]org、fifa-ticket[.]live、worldcup26ticket[.]comなどがある。さらに、wvvw-fifa[.]comやfifa-com[.]comといった巧妙な変形ドメインは、視覚的な類似性を利用してユーザーを一見して欺く手口となっている。
単純なドメインなりすましにとどまらず、攻撃者はサブドメインのなりすまし手法も活用しており、jobs-fifa[.]comやfifa-careerhub[.]comといったドメインを作成してワールドカップ関連の雇用機会を求める人々を標的にしている。
これらのドメインには、機密性の高いユーザーデータを取得したり、さらなるシステム侵害を引き起こすために設計されたフィッシングフォームやマルウェアを含むページが頻繁に設置されている。
FBIは、この悪意ある活動は2026年ワールドカップの開催が近づくにつれてさらに激化すると警告しており、検索エンジンの結果、スポンサー広告、電子メールやソーシャルメディアキャンペーンを通じて配布されるフィッシングリンクを通じて、新たな不正ドメインが出現する可能性が高いとしている。
脅威インテリジェンス企業bfore.aiのPreCrime Labsは、準備期間中にすでに498件のFIFAをテーマにした不審なドメインを確認しており、この作戦の規模の大きさが浮き彫りになっている。
被害を軽減するため、ユーザーは検索エンジンのリンクやスポンサー結果に頼らず、公式FIFAウェブサイトのURL「www.fifa.com」をブラウザのアドレスバーに直接手動で入力することが強く推奨されている。
セキュリティ専門家はまた、認証情報を入力する前にドメイン名を慎重に確認すること、よく利用するサイトはブックマークを使用すること、デザインが粗悪なウェブサイト、不審なリダイレクト、機密情報の求められていない要求は脅威の兆候として扱うことを推奨している。
防御の観点から、組織やセキュリティチームはFIFAおよびワールドカップに関連するキーワードを含む新規登録ドメインを監視し、DNSフィルタリングを実装し、新たな侵害の痕跡(IOC)を検出するための脅威インテリジェンスフィードを導入すべきである。
ブラウザアイソレーションとエンドポイント保護ソリューションは、アクティブなフィッシングインフラへの組織的な露出をさらに低減することができる。
このような詐欺の被害者は、悪意あるドメイン、やり取りの履歴、関与した金融取引の詳細を含む情報を添えて、FBIのインターネット犯罪苦情センター(IC3)(www.ic3.gov)に直ちに被害を報告するよう推奨されている。
このキャンペーンは、特に世界的な注目を集める大規模イベントにおいて個人の警戒心が低下しやすい状況を利用した、ブランドなりすましとイベント便乗型フィッシングという高度に効果的なソーシャルエンジニアリング手法の悪用が続いていることを改めて示している。
翻訳元: https://cyberpress.org/threat-actors-spoof-fifa-websites/