ワールドカップ詐欺急増で観戦者と企業が同時に狙われる深層と対策

大会熱狂が詐欺市場を広げる構図

FIFAワールドカップ2026は、米国、カナダ、メキシコの3カ国で開催される過去最大級の大会です。出場枠は48チームに広がり、全104試合が16都市で行われます。競技そのものの規模拡大は、チケット、宿泊、移動、配信、グッズ購入といった周辺サービスの接点を一気に増やします。

サイバー犯罪者にとって重要なのは、サッカーに詳しいかどうかではありません。世界中の人が同じ話題を検索し、同じ時間に映像を探し、同じ公式らしいページを開きやすくなることです。つまり「試合を観ているだけ」のつもりでも、無料配信リンク、偽チケット、旅行予約、QRコード、SNS広告を通じて、攻撃の入口に触れる可能性があります。

しかも被害は個人のクレジットカード情報だけで終わりません。私物端末と業務端末の境界が曖昧な働き方では、盗まれたパスワードやセッション情報が企業ネットワークへの足場になります。大会期間は、消費者向け詐欺と企業向け攻撃が同じ導線でつながる「サイバー攻撃の繁忙期」と見るべきです。

偽チケットと無料配信が奪う個人情報

公式らしさをまとう偽FIFAサイト

米連邦捜査局は2026年6月、FIFAを装った複数の偽サイトについて注意喚起しました。掲載されたドメインには、公式名に近い単語を混ぜるものや、国・大会・チケットを思わせる表現を使うものが含まれます。利用者は検索結果やSNS広告で見つけたページを、短時間で公式サイトだと判断してしまいがちです。

偽サイトの典型的な狙いは、チケット購入を装った決済情報の窃取です。ただし、攻撃者が本当に欲しがる情報はカード番号だけではありません。氏名、メールアドレス、電話番号、住所、パスポート情報、旅行日程、ログインIDなどがそろうと、後続のなりすましや標的型メールに使える高品質な名簿になります。

FortiGuard Labsの調査では、2026年1月から5月にかけて1万3000件以上のワールドカップ関連ドメインが確認され、そのうち8.8％が悪性または疑わしいものと分類されました。これは、犯罪者が大会開幕後に慌てて動き始めたのではなく、数カ月前から検索需要と購買行動を待ち構えていたことを示します。

こうしたドメインは、すぐに攻撃を始めるとは限りません。最初は無害に見えるページを置き、検索エンジンやSNSで露出を高め、アクセスが増えた段階でフィッシングフォームやマルウェア配布へ切り替える手口があります。製造業でいえば、攻撃者は本番稼働前に部材をそろえ、需要ピークに合わせて生産ラインを回すような動きをしています。

無料配信と転売が入口になる理由

観戦者が危険に近づく場面は、チケット購入だけではありません。人気カードの中継が有料配信や地域制限の中にある場合、「無料で見られる」「登録不要」「高画質」といった誘い文句が検索されやすくなります。そこに偽の配信サイト、偽の動画プレーヤー、偽のアプリ更新通知が差し込まれます。

無料配信サイトのリスクは、広告が多いことにとどまりません。再生ボタンに見せかけたダウンロードリンク、ブラウザー通知の許可要求、拡張機能の追加、認証情報の入力フォームが重ねられます。利用者が「試合開始まであと数分」という焦りの中にいるほど、普段なら見抜ける不自然さを見落とします。

チケット転売も同じ構造です。公式販売で入手できなかった人は、二次流通、SNS投稿、メッセージアプリ、検索広告に流れます。合法的な再販売サービスであっても価格や手数料への不満は起きやすく、その不満が「もっと安い」「今すぐ譲る」という非公式取引への誘導材料になります。詐欺師は希少性と時間制限を組み合わせ、判断を急がせます。

ここで注意したいのは、詐欺ページの完成度が上がっている点です。ロゴ、スタジアム写真、国旗、カウントダウン、座席図、チャット窓口が整っていれば、多くの人は違和感を持ちにくくなります。メールだけを疑えばよい時代ではなく、検索、SNS広告、QRコード、動画サイトのコメント欄まで含めた導線全体を疑う必要があります。

企業ネットワークへ波及する観戦リスク

私物端末から職場へ入る認証情報

ワールドカップ詐欺が企業にも影響する理由は、従業員がサッカーファンだからではありません。多くの企業で、クラウドサービス、SaaS、社内チャット、経費精算、オンライン会議、メールが同じブラウザーと同じパスワード管理環境に集約されているためです。私的な観戦行動で盗まれた情報が、業務アカウントの侵害につながります。

特に危険なのが、インフォスティーラーと呼ばれる情報窃取型マルウェアです。偽配信サイトや偽チケットサイトから実行ファイルを入れさせ、ブラウザーに保存されたパスワード、Cookie、認証トークン、暗号資産ウォレット、VPN接続情報を抜き取ります。多要素認証を設定していても、すでに認証済みのセッション情報を盗まれると、防御が迂回される場合があります。

Fortinetの調査では、ワールドカップ関連のスティーラーログに4600件を超えるURLが含まれ、FIFA従業員に関連する認証情報が約260件、ユーザーやファンの認証情報が約27万件確認されたとされます。さらに、氏名やメール、電話番号などを含む個人情報の記録も見つかっています。大会を装った攻撃が、すでに認証情報の市場と結びついていることを示す材料です。

FBIの2024年版Internet Crime Reportでは、米国のサイバー犯罪被害申告は85万9532件、損失額は166億ドルを超えました。フィッシング関連の申告は19万3407件で、ビジネスメール詐欺の損失は27億7000万ドル超です。大会関連詐欺そのものの統計ではありませんが、盗まれた認証情報が金銭被害へ変換される経路がすでに巨大な産業になっていることは明らかです。

観戦旅行がサプライチェーン化する現場

もう一つの盲点は、観戦旅行そのものが企業活動と重なることです。出張中に試合を観る社員、顧客接待でチケットを手配する営業部門、海外拠点との移動が増える管理部門、現地イベントを扱うマーケティング部門など、個人の余暇と会社の業務が同じ予約サイト、同じ経費精算、同じメールボックスに入ってきます。

Check Point Researchの調査として報じられた内容では、2026年5月の旅行・ホスピタリティ業界へのサイバー攻撃は1組織あたり週平均2291件に達し、前月比24％増、2023年5月と比べると2倍以上になりました。同じ調査では、2026年5月だけで旅行関連の新規ドメインが4万7318件検出され、112件に1件が悪性または疑わしいものとされました。

旅行予約を装うメールは、業務上の確認と区別しにくい特徴があります。航空券、ホテル、レンタカー、スタジアム周辺の交通、入場規制、請求書、領収書、日程変更といった件名は、どれも自然です。攻撃者はここに偽のPDF、偽の予約番号、偽のサポート窓口を混ぜ込みます。担当者が一度でも認証情報を入力すると、メールボックスを踏み台に社内外へ攻撃が広がります。

製造業や物流業にも無関係ではありません。大会期間はグッズ、飲食、警備、放送機材、店舗運営、交通運行など多くのサプライヤーが短期集中で動きます。攻撃者は大企業の中核システムだけでなく、現地ベンダー、委託先、イベント会社、配送業者のアカウントを狙います。サプライチェーン上の弱い認証が、発注情報や請求書詐欺の入口になります。

この構図では、セキュリティ部門だけが警戒しても不十分です。調達、経理、営業、総務、人事、海外出張者が同じリスクシナリオを共有し、どの連絡が正規で、どの手続きは社内ポータルから行うのかを事前に決めておく必要があります。大会中に判断ルールを作るのでは遅く、開幕前から運用を固めることが被害低減につながります。

AI時代に薄れる不審メールの見分け方

従来のフィッシング対策では、「日本語が不自然」「ロゴが粗い」「差出人名が変」といった見分け方が重視されてきました。しかし生成AIの普及で、こうした目視チェックの価値は下がっています。自然な文章、現地の話題に合った表現、チーム名やスタジアム名を含むメールを低コストで大量生成できるためです。

WIREDは、ワールドカップ便乗詐欺について、AIが本物らしいサイトや広告を作るハードルを下げている点を指摘しています。Group-IBの調査として、FIFAを装う不正ドメインが4300件超確認されたことも紹介されています。攻撃者は一つの偽サイトに賭けるのではなく、多数の入口を並べ、消されても別の入口へ誘導する運用に移っています。

QRコードも警戒すべき入口です。飲食店、交通案内、会場周辺の広告、ファンイベント、グッズ販売など、QRコードを読み取る場面は大会中に増えます。コード自体は見た目で行き先を判断できません。正規ポスターの上に偽ステッカーを貼る、SNS画像にコードを差し込む、メール本文のリンクをQRに置き換えるといった手口が成立します。

対策の前提は「怪しいものを見抜く」から「正規の経路だけを使う」への転換です。大会公式サイト、放送局、認定チケット販売元、航空会社、ホテル、社内ポータルをブックマークし、検索広告やSNSの短縮URLから入らない運用が有効です。企業は大会名を含む新規登録ドメインの監視、URLフィルタリング、従業員向け注意喚起を短期施策として強化できます。

観戦前に整える個人と企業の防衛線

個人が最初に行うべきことは、チケット、配信、旅行予約の入口を固定することです。検索結果の上位やSNS広告からではなく、あらかじめ確認した公式ページや正規アプリからアクセスします。無料配信をうたうサイト、外部アプリの導入を求めるページ、暗号資産やギフトカードでの支払いを求める相手は避けるべきです。

アカウント面では、パスワードの使い回しをやめ、パスワード管理ツールと多要素認証を使います。大会関連サイトに登録する場合も、業務用メールアドレスは使わないほうが安全です。カード情報を入力した後に違和感を覚えた場合は、カード会社へ連絡し、アカウントのパスワード変更とログイン履歴確認を急ぐ必要があります。

企業側は、大会を単なる娯楽イベントではなく、期間限定の攻撃キャンペーンとして扱うべきです。新規登録ドメインの遮断、盗まれた認証情報の監視、条件付きアクセス、端末のEDR検知、業務端末での非公式配信サイト閲覧制限、経費精算メールの確認手順をセットで見直します。旅行・接待・現地イベントに関わる部門には、通常より具体的な注意喚起が必要です。

ワールドカップの熱狂は避けるものではなく、正しく楽しむものです。ただし、攻撃者はその熱狂を業務プロセスと認証情報に変換しようとします。観戦者は公式経路を使い、企業は従業員の私的行動が社内リスクへ波及する前提で備えることが、今大会の現実的な防衛線になります。

参考資料:

• FIFA websites spoofed by hackers ahead of 2026 World Cup, FBI warns
• 2026 FIFA World Cup Targeted by Cybercriminals
• Watch Out for World Cup Scams
• The World Cup is the next big target for ticketing scams and malicious streaming links
• As the 2026 World Cup Expands, So Does the Threat Surface
• Kansas City World Cup fans are being targeted in scams
• Internet Crime Report 2024
• How to Avoid a Scam
• World Cup resale ticket prices highlight StubHub costs
• Your summer travel plans are also a major target for phishing attacks
• Stop using a soccer-related password, ExpressVPN warns football fans
• Beware that QR code: Millions have been scammed by quishing