FBIは、2026年ワールドカップを前に、FIFAを装った偽ウェブサイトについて警告を発しています。これらのサイトは、個人情報や金融情報の窃取、偽チケットや接待パッケージの販売、およびイベントに関連するその他の詐欺行為を目的としています。
米国・カナダ・メキシコで6月11日から7月19日の間に開催される国際サッカートーナメントに向けて、脅威アクターたちは数百ものフィッシングサイトを準備しています。
FBIの公式発表によると、偽ドメインは公式サイトのfifa.comを模倣しながらも、ユーザーが見落としやすいわずかなスペルの変更(例:fiffa[.]com)を利用したり、代替トップレベルドメイン(例:.org、.xyz、.live、.sale)を使用したり、「jobs-fifa[.]com」や「fifa-hiring[.]com」のような偽の求人ポータルを利用したりしています。
Visit Advertiser websiteGO TO PAGE
FBIは発表の中で、多くの不正ウェブサイトが訪問者から氏名、住所(実住所・メールアドレス)、電話番号、銀行・支払い情報など様々な種類のデータを収集しており、これらのデータが不正アカウントの作成、個人情報の窃取、または金融詐欺に悪用される可能性があると指摘しています。
こうしたキャンペーンの規模は、サイバーセキュリティ企業のGroup-IBとBitdefenderの報告にも反映されており、両社の研究者はGoogleの検索結果、Facebookの広告、Telegram、WhatsAppを通じて拡散されるワールドカップ関連の不正広告キャンペーンを確認しています。
Group-IBの研究者が「Ghost Stadium」として追跡する中国の脅威アクターによるものとされる大規模な作戦では、本物のFIFAポータルを模倣した300以上のフィッシングサイトを使用し、プレミアムチケット詐欺を行っています。
2月以降、Bitdefenderはワールドカップブランドを悪用した不正行為を観測しており、英国、ポルトガル、スペイン、アルジェリア、米国、カナダ、メキシコ、ブラジル、ドイツ、オーストラリアのユーザーを標的に、偽グッズ・ユニフォーム・コレクターズアイテム、ストリーミングサービス、パニーニステッカーなどが販売されています。
身を守るには
ワールドカップへの関心が高まるにつれ、サイバー犯罪者はさまざまな手口を使って利用者を誘導し、偽製品を販売したり、金銭や個人データを盗んだりする不正なオンラインポータルへ誘い込もうとします。
ファンはFBIによる以下のシンプルな推奨事項を守ることで、こうしたリスクを回避できます:
- ブラウザにfifa.comを手動で入力する
- 検索広告は避けるか、広告ブロッカーを使用する
- URLが.comで終わっていることを確認する
- 公式FIFAサイトをブックマークに登録して利用する
- ダイレクトメッセージで送られてくる不審なリンクを避ける
- サイトの正当性が確認できない限り、個人情報を入力しない
ユーザーはFBIのインターネット犯罪苦情センター(IC3)に被害を報告し、使用された偽ドメイン、やり取りの履歴、支払い情報などの詳細を提供することが推奨されています。これにより当局が不正ポータルに対して適切な措置を取ることができます。
検証のギャップ:自動ペネトレーションテストが答えるのは1つの問いだけ。あなたには6つの答えが必要だ。
自動ペネトレーションテストツールは真の価値を提供しますが、それらは「攻撃者がネットワーク内を移動できるか」という1つの問いに答えるために設計されています。コントロールが脅威をブロックするか、検知ルールが機能するか、クラウド設定が維持されるかをテストするためには設計されていません。
このガイドでは、実際に検証が必要な6つのサーフェスを解説します。
