- フィッシング詐欺
- サイバー攻撃対策
- インフォスティーラー
- 多要素認証(MFA)
- セキュリティ対策
ただ、セキュリティの現場にいる立場からすると、この高揚感をそのまま喜べないのが正直なところです。
世界規模の大型イベントが近づくたびに、サイバー犯罪者たちも「稼ぎ時」と判断して動き出すからです。
今回のW杯2026でも、開幕前からすでに大規模なフィッシング詐欺キャンペーンが観測されており、その標的は一般の応援ファンだけではなく、企業の従業員・システムにまで及んでいます。
今回は、現在進行形で起きているW杯便乗サイバー攻撃の実態と、企業として今すぐ取るべき対策をお伝えします。
「ちょっとチケットを探しただけなのに」が、会社のシステム侵害に
「業務中にW杯の試合の情報を少し調べた」——そんな何気ない行動が、企業のセキュリティインシデントのきっかけになり得ます。
セキュリティ調査機関のGroup-IBによると、2025年8月以降、FIFAを装った偽ドメインが4,300件以上登録されており、そのうち300サイト以上が「GHOST STADIUM」と呼ばれる中国語圏の詐欺グループが運営する精巧な偽サイト群であることが判明しています。
これらの偽サイトは、本物のfifa.comと見分けがつかないほど巧妙に作られており、公式のログイン画面をそっくりコピーした上で、認証コードまで本物のサイトから流用しています。
FIFAの公式サーバーから画像を直接読み込む仕組みになっているため、「コピー画像を検出するツール」でも引っかかりにくいのです。
「自分は引っかからない」と思う方も多いかもしれませんが、こうした偽サイトへの誘導はFacebook広告やTelegram、WhatsApp経由で届くことが多く、一見すると普通の広告や知人からのシェアに見えます。
業務PCでSNSを開いた社員が、不注意にリンクをクリックするシナリオは十分に起こり得ます。
企業が特に警戒すべき3つの攻撃手口
1. インフォスティーラーによる認証情報の大量収集
今回のW杯詐欺で確認されたのは、フィッシング詐欺単体ではありません。
Vidar、LummaC2、RedLineといったマルウェア(インフォスティーラー)を使って盗み出された認証情報が、すでに数十万件規模で出回っていることが確認されています。
インフォスティーラーとは、感染した端末からパスワードやCookieなどのログイン情報を自動的に抜き取るマルウェアです。
従業員が偽のストリーミングサイトにアクセスして感染した場合、その端末に保存されている業務システムのログイン情報まで一緒に盗まれる可能性があります。
「試合情報を少し見ただけ」が、社内システムへの不正アクセスの入口になってしまう。これが現代の攻撃の恐ろしさです。
2. 無料ストリーミングアプリに潜むバンキングマルウェア
「会社の昼休みにスマホでW杯を見よう」と考えた社員が、非公式のストリーミングアプリをインストールする。
この行動が、企業への侵害につながることがあります。
セキュリティ企業ThreatFabricとKasperskyは、非公式のストリーミングアプリにAndroidバンキングトロイのMassivおよびPerseusが仕込まれているケースを確認しています。
これらのマルウェアは、インストール後にAndroidのアクセシビリティ機能を悪用して端末を乗っ取り、銀行アプリや業務アプリ上に偽のログイン画面を重ねて表示させ、入力した情報を盗み取ります。
また、SMSや認証アプリで届くワンタイムパスワードまでインターセプトするため、多要素認証を設定していても突破されるリスクがあります。
BYOD(個人端末の業務利用)を認めている企業では、特に注意が必要です。
3. フィッシング・アズ・ア・サービス(PhaaS)の台頭
かつてのサイバー犯罪者は、フィッシングサイトをゼロから自前で構築する必要がありました。しかし今は違います。
既製品のフィッシングキットがダークマーケットで販売されており、技術的な知識がほとんどない人間でも、本物そっくりの詐欺サイトを立ち上げられる時代になっています。
W杯便乗詐欺でも、このフィッシング・アズ・ア・サービス(PhaaS)の仕組みが使われており、個別の詐欺グループを摘発してもすぐに別グループが同じキットで再起動できる状態になっています。
つまり、「1つの偽サイトを潰したから安全」とはならない。
攻撃者側の参入障壁が劇的に下がった現在、フィッシング攻撃は今後も増加の一途をたどると見るのが現実的です。
実運用でハマりやすいポイント:「MFAを設定しているから大丈夫」の落とし穴
セキュリティ対策として多要素認証(MFA)を導入している企業は多いと思います。
しかし今回のW杯詐欺では、MFAをも突破する手口が使われています。
上述のバンキングマルウェアはSMSのOTPをリアルタイムでインターセプトします。
また、偽サイトに入力された認証情報を攻撃者がリアルタイムで本物のサイトに入力し、**発行されたワンタイムパスワードを被害者に入力させるAiTM(中間者攻撃)**という手口も確認されています。
「MFAを設定していれば安心」という認識は、残念ながら2025年現在では通用しません。
MFAはあくまで防御の1レイヤーであり、ログイン後の異常な振る舞いをリアルタイムで検知・遮断する仕組みがないと、突破された後の被害を防げません。
企業として今すぐできる3つの対策
① 社員への注意喚起
- W杯関連のリンクは、広告や転送リンクからではなくURLを直接入力してアクセスするよう周知する
- 業務端末でのFIFAチケット購入・非公式ストリーミングアプリのインストールを禁止するポリシーを確認・再周知する
- 暗号資産(仮想通貨)での支払いを求めるサイトは100%詐欺と認識させる(FIFA公式チケットは暗号資産払い不可)
② 認証情報の流出モニタリング
自社ドメインのメールアドレスやアカウントが、インフォスティーラーによって収集されたデータベースに含まれていないか定期的にチェックすることが重要です。
Vidar、LummaC2、RedLineによる収集データは継続的にダークウェブで流通しており、SOCサービスを利用している企業では、この種のインテリジェンスフィードを活用した早期検知が可能です。
③ ログ・アラートの監視強化
W杯期間中(6月11日〜7月19日)は、フィッシング関連のインシデントが急増するタイムラインと重なります。
この時期は特に、FIFA関連ドメインへの不審なアクセスログや、通常と異なる時間帯・場所からのログイン試行を重点的に監視することをお勧めします。
まとめ:世界的イベントは、攻撃者にとっても「旬の季節」
W杯やオリンピックのような大型イベントは、数億人の注目が集まる分、サイバー犯罪者にとっても「確率の高い投資先」になります。
今回のW杯2026でも、すでに数千の偽ドメインが稼働待機しており、6月11日から7月19日の期間中に一斉に動き出すと予測されています。
企業のセキュリティ担当者にとって重要なのは、「社員個人の問題」として片付けないことです。
社員1人の端末への感染が、社内ネットワーク全体への侵害入口になる——この事実を経営層も含めて共有しておくことが、組織的な防御の第一歩になります。
自社のSOC体制、見直してみませんか?
「社員への注意喚起はしているけれど、実際に不審なアクセスが起きていたとしても、気づける自信がない」——そう感じているセキュリティ担当者の方は、少なくないと思います。
Colorkrew Securityでは、24時間365日体制のSOCサービスを提供しており、インシデント発生時の初動対応支援まで、一気通貫でサポートいたします。
W杯期間中のセキュリティ強化に限らず、「日常的なSOC運用の負担を減らしたい」という企業様もぜひお気軽にご相談ください。
