中国語話者の詐欺師たちが、2026年ワールドカップのチケットを求めるファンから認証情報と支払い詳細を盗もうと、300以上のドメインにわたってFIFAの公式ウェブサイトをほぼ完璧に複製したクローンサイトを構築している。
この手口は、サイバーセキュリティ企業Group-IBが水曜日に詳報した4つの独立したキャンペーンのうちの1つであり、認証情報の盗取、偽チケット販売、偽造グッズ、不正ストリーミングサイト、無認可ギャンブルプラットフォームを合計すると、数十億ドルのリスクをもたらす可能性があると、シンガポールに拠点を置く同社は述べた。
この詐欺の潜在的な規模は、2026年ワールドカップの規模そのものを反映している。同大会は史上最大規模のトーナメントとなる予定であり、48チームがアメリカ、カナダ、メキシコで104試合にわたって競い合う。
Group-IBが「GHOST STADIUM」と命名し、2025年11月に初めて観測したこのグループは、同社が大会を標的として特定した4つの独立した脅威アクターのうちの1つだ。これらの犯罪者たちは集合的に、2025年8月以降、FIFAの公式ウェブプレゼンスを偽装した4,300以上の不正ドメインを登録している。
これらのドメインのうち300以上が不正なインフラを積極的に稼働させており、残る約3,800件は駐留または休眠状態で、大会が近づくにつれて起動できるよう事前に配置されていると研究者らは述べた。
「これは粗雑なフィッシングページではなく、緻密に作り込まれたなりすましサイトだ」と同社は警告した。
GHOST STADIUMは、Layui 2.7.6mというオープンソースのUI(ユーザーインターフェース)ライブラリを使用して開発されたフィッシングキットを利用しており、Group-IBはこれを「中国の開発者コミュニティ以外ではほとんど知られていない」と述べた。
このフィッシングキットは、FIFAのIDプロバイダーが使用する認証フローを複製することでFIFAのログインシステムを模倣し、ユーザーを無断で本物のFIFAウェブサイトにリダイレクトすることで、ログインが成功したように見せかける。
フィッシングページはさらにパスワードリセットパラメーターを要求することで、攻撃者が被害者を自身のアカウントから即座にロックアウトできるようにする。そうして乗っ取られたアカウントに紐づいた正規チケットは転売される可能性があると研究者らは述べた。
ソースコード全体にわたって中国語のコメントが埋め込まれていることをGroup-IBは確認した。インフラ分析では、300以上のドメイン全体にわたって同一のSSL証明書とMeta Pixelトラッキング IDが埋め込まれており、ネットワーク全体が同一のFacebook広告アカウントに結びついていることが判明した。
研究者が特定した300以上のフィッシングドメインのうち、79件は1,500ドルから10,000ドル以上の価格帯のプレミアム・ホスピタリティ席チケットのみを販売していた。Group-IBは、1つのドメインで600件以上の被害者登録が確認されたことから、プレミアムチケット詐欺だけでも被害者数は47,400人を超え、損失額は7,100万ドルから4億7,400万ドルに上ると推定した。
これらの数字は、GHOST STADIUMキャンペーン全体のおよそ4分の1をカバーするに過ぎない。Group-IBは、認証情報の盗取、低価格帯チケット販売、二次的な現金化を含む全詐欺層にわたる総損失は「合理的に見て数十億ドルに達する可能性がある」と述べた。
同社の調査員によると、GHOST STADIUMキャンペーンは主にFacebook上の有料広告を通じて拡散されており、正規価格が数千ドルのシートを60ドルという安値で提供し、購入を急かす「先着順」のメッセージが使われていた。
Group-IBはファンに対し、チケットの購入はブラウザに直接入力したfifa.comのみを通じて行うよう勧告するとともに、FIFA名のハイフン入りバリエーションを使用するドメインはすべて詐欺として扱うよう呼びかけた。同社は関係当局に通知済みであり、調査は2026年3月から5月にかけて実施されたと述べた。
翻訳元: https://therecord.media/chinese-speaking-fraud-gang-fifa-world-cup-scam
