TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

スポーツ団体の8割超がサイバー攻撃の標的に――過去1年間の実態

プロスポーツ団体の8割以上が過去1年間にサイバー攻撃の標的となり、そのうち半数以上が複数回の被害を受けたことが、研究者らの調査で明らかになりました。

6月11日に公開されたレポートによると、FIFAワールドカップ2026が開幕したこの日、Darktraceのデータが示したのは、チーム・会場・イベント運営団体を含むスポーツ組織の84%が過去1年間にサイバー攻撃を受けたという事実です。

さらに、攻撃を受けた組織のほとんどにとって、それは一度限りの出来事ではありませんでした。57%が同じ12か月の間に複数回のサイバーインシデントを経験しています。

スポーツ団体がサイバー犯罪者やその他の脅威アクターにとって魅力的な標的となる理由は、いくつか挙げられます。スポーツの試合、とりわけ国際的なイベントは広く告知されるため、攻撃者はその開催日時を正確に把握できます。

つまり、ランサムウェア攻撃でインフラを麻痺させるにしても、DDoS攻撃でオンラインサービスを妨害するにしても、最大限の混乱を引き起こしたい攻撃者にとっては、いつ仕掛けるべきかが明確にわかるということです。

スポーツ業界のサイバーセキュリティ担当者も、業務継続の重要性を十分認識しています。回答者の3分の1が、セキュリティチームの最重要任務は「ライブ競技中にスタジアム運営の重要機能を維持すること」だと答えています。

これは非常に重要な点です。サイバーインシデントによってスタジアム運営が妨げられれば、観客が入場できなくなったり、試合そのものが開催不能になったりする可能性があり、ファン・チーム・スポーツ団体・スポンサーのいずれにとっても深刻な問題となります。

「プロスポーツの現場は、タイミングがすべてを左右する高プレッシャーな環境です」と、DarktraceのVP(セキュリティおよびAI戦略担当)、ナサニエル・ジョーンズ氏は述べています。

「不審なログイン、異常なデータの動き、予期せぬAIエージェントの動作は、単独では些細に見えても、ライブイベント中には瞬く間に重大な運営上の問題へと発展する可能性があります。」

ファンデータを狙うサイバー攻撃

スポーツ団体がサイバー攻撃の主要な標的となるもう一つの理由が、取り扱うデータにあります。大規模な組織と同様に、スポーツ団体も顧客であるファンの情報を収集・管理しています。 

その中には、クレジットカード情報や個人情報といった機密性の高いデータも含まれており、いずれもサイバー犯罪者にとって格好の標的です。自ら直接悪用するだけでなく、アンダーグラウンドフォーラムで第三者に売却することもあります。 いずれにせよ、これらの情報が盗まれれば、ファンは窃盗や詐欺などのリスクにさらされることになります。

関連記事:偽ストリーム・偽グッズ・その他の詐欺――詐欺師がF1ファンを狙う手口

加えて、スポーツ団体はチームや選手に関する膨大な情報も保有しています。選手の個人データから、契約やスポンサー契約の情報、さらには組織の運営方法、商業的パートナーシップ、サードパーティサプライヤーとの関係といった機密データまで、その範囲は多岐にわたります。

サプライチェーンへの攻撃

実際、脅威アクターが弱点として狙いを定めるのが、こうしたサードパーティサプライヤーを取り巻くサプライチェーンです。

チケット販売事業者、放送局、クラウドサービス、スタジアム技術のソフトウェアサプライヤーはいずれも攻撃の標的となり得ます。攻撃者はスポーツ団体との信頼関係を悪用して、攻撃を仕掛けてくる可能性があります。

ソーシャルエンジニアリングは、スポーツ団体に対して多用される攻撃手法の一つです。Darktraceの調査によると、スポーツ団体が受け取るフィッシングメールの数は、他業種と比べて19%多いことが明らかになっています。

スポーツ団体を標的とした11万6,000件のフィッシングメールを分析した結果、21%が経営幹部やVIPを直接狙ったものであり、37%はAIを活用した「新手」のソーシャルエンジニアリング手法を用いていました。また、検知されたフィッシングメールの84%がDMARC認証をすり抜けており、組織が直面する課題の深刻さが浮き彫りとなっています。

スポーツ団体がサイバー脅威からのプレッシャーを増す中、レポートは、世界中の目が注がれる重要な局面で高知名度のサイバー犯罪被害者とならないよう、今すぐ対策を講じる必要があると結論付けています。

「今日、スポーツ団体が内外から直面するリスクを軽減するうえで最も効果的な方法は、セキュリティに対して行動ベースのアプローチを採用することです。ルールやシグネチャへの依存から脱却し、環境内における人間とAIの両方の行動を理解することに注力することが重要です」と、ジョーンズ氏は語っています。

画像クレジット:katatonia82 / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/sports-organizations-targeted-by/

ソース: infosecurity-magazine.com
#Darktrace #DDoS攻撃 #FIFAワールドカップ2026 #サイバー攻撃 #サプライチェーン攻撃 #スポーツ団体 #ソーシャルエンジニアリング #データ漏洩 #フィッシング #ランサムウェア

関連記事

CISAが連邦機関に指示:重大度ではなくリスク優先のパッチ適用へ

偽AIガイドと開発ツールを悪用したAsyncRATマルウェアの拡散手口

サイバーセキュリティチームの多くが、新たなサイバー脅威に関するトレーニング時間を確保できずに苦闘