
リードアナリスト:Jeewan Singh Jalal、Louis Tiley
KnowBe4 Threat Labsは、2026年4月第1週から6月22日までのフィッシング活動を追跡しました。その結果、ワールドカップ前の盛り上がりから開幕直前、そしてグループステージの戦いが繰り広げられる現在に至るまで、攻撃が段階的にエスカレートしている実態が最新の追跡データから明らかになりました。
拡大する被害
大規模なグローバルイベントが開催されるたびに、それに便乗した攻撃が急増します。今年のFIFAワールドカップも例外ではありません。KnowBe4 Threat Labsは、2026年4月第1週からワールドカップ関連のフィッシング活動の追跡を開始しました。その結果明らかになったのは、開幕直前にピークを迎え、大会が始まってからも勢いを増し続けるキャンペーンの実態でした。
開幕前のデータ(2026年4月5日〜6月11日)
- 「ワールドカップ」を騙るフィッシング攻撃は、6月11日の開幕戦に向けた6週間で13倍に増加。特に直前の7日間で最も加速しました。
- 大会開始直前の1週間で、1日あたりの平均攻撃件数が850%増加しました。
- 6月4日には、フィッシングメール185通に1通が「ワールドカップ」を掲げており、これは開幕前の観測期間における単日での最高割合でした。
- 6月8日には、フィッシングメール513通に1通が、送信者の表示名に「FIFA」を偽装していました。5月初旬では、この数値は3,000通に1通以下でした。
- 6月6日〜7日の週末にワールドカップ関連のフィッシング件数が急減しましたが、翌週の月曜に急回復するという動きが確認されています。これは攻撃者が人々の業務時間を狙ってキャンペーンを展開していることを裏付けています。


大会期間中の状況(2026年6月15日〜22日)
試合が本格化してから12日が経過した時点のデータを見ると、攻撃活動は、開幕日にピークを迎えて収束するどころか、その後も着実に増え続けています。
- 大会期間中のワールドカップ関連のフィッシングは、通常の22倍にまで急増しました。追跡を開始した4月下旬の0.011%に対し、6月15日〜22日には追跡対象のフィッシング件数全体の平均0.246%を占めています。
- 件数は6月20日にほぼゼロ(0.009%)まで落ち込んだ後、6月22日には0.41%まで回復しました。この変動は「試合日との同期」を裏付けるものであり、攻撃者は特定の試合に合わせてキャンペーンを集中投下しています。
- 6月22日には、フィッシング161件に1件が大会関連の送信者名を悪用していました(FIFA名義が0.43%、ワールドカップ名義が0.19%)。
- 現在、「FIFA」というブランド名は、単に「ワールドカップ」と掲げる手口の2倍の頻度で確認されています(6月15日〜22日で0.24%対0.11%)。攻撃者は、より信用させやすい名義として、統括団体であるFIFAをより多用する傾向を強めています。


表示名のなりすましが主流に
観測期間を通じて、攻撃者は類似ドメインの登録よりも表示名のなりすましを多く使っており、その頻度はドメインベースのなりすましの2〜3倍に達しています。従来のドメインレピュテーションによるフィルタリングでは、この攻撃ベクトルを防ぐことはできません。
- FIFAドメインの偽装(6月2日〜7日の週):加重平均0.09%(6月3日0.12%、6月4日0.14%)。
- FIFA表示名の週平均(6月4日の週):過去最高の0.109%まで上昇。
- FIFA表示名の単日ピーク(6月8日):0.195%。
- 大会期間中、送信者名がFIFAをなりすました件数は72時間でほぼ3倍に増加(6月19日0.14% → 6月22日0.43%)。
- 表示名の偽装は現在、キャンペーン当初の6倍に達しています(追跡開始時の0.04%に対し、6月15日〜22日の平均0.24%)。
- 6月11日から始まる週の平均は0.31%で、開幕前のピークだった0.29%を上回りました。

2つのブランドを使い分ける戦略:「ワールドカップ」対「FIFA」
- 「ワールドカップ」を名乗った誘導は開幕前にピークを迎え(6月4日に0.55%)、大会開始とともに減少しました。
- 一方、「FIFA」を装った攻撃は大会期間中にピークに達し、6月10日には0.74%を記録。
- 大会期間中、「ワールドカップ」を使った表示名が再度急増しました(6月19日0.05% → 6月22日0.19%)。

分析ポイント:大会がいざ始まると、主流の名義が「ワールドカップ」から「FIFA」へと切り替わりました。これは攻撃者による意図的な戦術転換です。試合が実際に行われている状況では、統括団体であるFIFAの名義のほうが、不自然と感じることはなく信頼されやすいです。
偽の「FIFA採用」キャンペーン
私たちが追跡した中で最も技術的に洗練されていたキャンペーンは、チケット購入者ではなく求職者を標的にしていました。私たちは、FIFAの人事・採用チームになりすました巧妙な採用・アンケート詐欺を追跡しています。この手口は、カレンダー予約や偽アンケートのワークフローを悪用し、認証情報の窃取やクレジットカード情報の詐取を狙うものです。
攻撃の対象者は偶然選ばれたわけではありません。FIFAは、48チーム・16都市で開催される大会に向けて、数千人規模のスタッフやボランティアを積極的に採用しています。必然的に応募者は、履歴書の共有、認証、面接の予約を行うことを想定しているため、一般的なターゲットよりもはるかに脆弱になります。
攻撃の流れ
ステップ1 - 最初の接触
標的は、FIFA採用担当部署を偽装したメールを受信します。送信者はAWSのアプリケーションサービスや外部のヘルプデスクプラットフォームを悪用し、SPF/DKIMフィルターをすり抜けます。具体的に確認されたインフラは次の通りです。
- worldcup2026fifa[.]awsapps[.]com - AWS WorkMail/SESの悪用による初期接触
- fifa-jobs[.]us2[.]desk365[.]com - Desk365ヘルプデスクプラットフォームの悪用
これらは技術的に正規の送信サービスであり、有効なSPFレコードを持つため、メールは認証チェックを通過して標的の受信トレイに到達します。

ステップ2 - 予約への誘導
一次面接を予約するための「カレンダーの空き状況を確認する」または「こちらで時間を選択してください」という、心理的抵抗の低い行動喚起(CTA)を提示し、一次面接の予約を促します。このメールは、ペイロードを一切使用していないため、スキャナーが検知できる添付ファイルなどは存在しません。

ステップ3 - リダイレクトとフィンガープリンティング
カレンダーのリンクをクリックすると、被害者は追跡リンク(cl[.]s13[.]exct[.]net)を経由して、FIFAを装ったランディングページへリダイレクトされます。直接確認されたページは次の2つです。
- fifahiring[.]com
- Fifa-careerhub[.]com
このリダイレクトの連鎖により、配信時にリンクを検査するURLスキャナーから最終的な到達先が隠されます。
ステップ4 - SSOフィッシング
面接枠を確定させるため、被害者はGoogleまたはMicrosoftのSSO(「Googleログインで続ける」など)による認証を求められます。サインインを試みた瞬間、企業または個人の認証情報がリアルタイムで窃取されます。
ステップ5 - アンケート経由のカード情報詐取
これと並行して、偽アンケートが標的に提示されます。信憑性を高めるため、ECサイトやSNSのように口コミが次々と表示される仕組みです。回答を終えると、被害者は otakusignalflow[.]com へリダイレクトされ、わずか2.35ユーロの「送料」を支払わせる名目で、カード番号、CVV、有効期限をリアルタイムで詐取されます。

偽のFIFA採用ポータル:fifaworldcup-jobs[.]com
この採用キャンペーンは、fifaworldcup-jobs[.]com に構築された、偽のFIFA採用ポータルによってさらに補強されています。このサイトは「FIFAワールドカップ スポンサーシップパッケージ」「無料のリモート求人掲載」「FIFAワールドカップ イベント求人」など、それらしい求人カテゴリが掲載されています。ただし、証明書検査を有効にしているユーザーがこのドメインにアクセスすると、ブラウザのTLS警告が表示されます。

大量配信型のフィッシング:チケット、パブリックビューイング、旅行詐欺
標的型の採用キャンペーン以外にも、大量に配信されるキャンペーンが存在します。これは、ワールドカップのチケットの希少性と大会の影響力を利用し、できるだけ多くの受信トレイに届くよう設計された、大量に生成されたフィッシングです。
特徴
- 特定の個人や組織ではなく、不特定多数を狙って設計されています。
- 信頼されたブランドや組織になりすますことでスパムの挙動を模倣します。
- 検出製品をバイパスするため、送信ごとにリンク、メールのメタデータ、表示名、送信者アドレスを変えるポリモーフィック型となっています。
- 主に、メール本文や添付ファイル内に隠されたクレデンシャルハーベスティング(認証情報窃取)リンクを使用します。
主な手口・文面
大半の攻撃は、抽選販売やスポンサー付きチケットの提供を通じた、チケットの購入・販売・譲渡に焦点を当てています。人気試合のチケットは実際に希少で、価格プレミアムも大きいため、この手口は効果的です。
地域による傾向の違いも確認されています。米国で観測されたフィッシングはチケット詐欺が中心である一方、英国ではマーケティングやエンゲージメントを狙った手口(スポンサー付き観戦パーティー、イベント、グッズ割引など)の割合が高くなっています。
また、拡大しつつあるのが、米国のスタジアム周辺での旅行・駐車・交通に関連する手口です。自動車依存のインフラが配車サービスや駐車場サービスの需要を生み出しているためです。現時点では件数は少ないものの、決勝トーナメントがより多くの観客を集めるにつれて拡大すると予想されます。
今後想定されるものの、まだ大きな件数では確認されていないカテゴリとしては、賭けや懸賞金、海賊版ライブ配信サイトへの悪意あるリンクなどが挙げられます。
ポリモーフィックな回避手法 - 確認された事例
事例1:FIFAワールドカップ26™ チケット譲渡
- FIFAチケッティングになりすまし。
- ポリモーフィック型:表示名の末尾にランダムな6文字を付加。
- 入れ替わる件名:「FIFA World Cup 26™ - Transfer of Ticket(s)」および「Win tickets FIFA World Cup 2026 Final」。
- ハイパーリンクのペイロードは認証情報窃取ページへ誘導。
- 確認された送信元ドメイン:noreply@worldcuptickets.worldcupfifa[.]com

事例2 - 職場向け観戦パーティー
- 緊急性を装うソーシャルエンジニアリング。
- 個別化ではなく大量配信を重視した、自動生成されたフィッシング。
- リンクのペイロードは認証情報窃取ページへ誘導。
- 確認された送信者:watchparty@watchfootballlive[.]com

事例3 - 多言語対応の国際的な手口
info@grupotrabajopn[.]infoからドイツ語のFIFA関連のアンケート型詐欺が展開されたことが6月15日確認されました。これは、このキャンペーンが英語圏の標的にとどまらず、複数の言語市場で展開されていることを裏付けています。

新手口:返信要求型・前払い金詐欺キャンペーン
更新されたテレメトリにおいて、第3のキャンペーン動向が特定されました。採用関連や大量配信型のキャンペーンとは異なり、これらのメールには悪意あるリンクや添付ファイルが一切含まれていません。そのため、ペイロードをスキャンするメールセキュリティツールからは、ほぼ検知されない仕様になっています。
キャンペーンの仕組み
1. 罠
ユーザーは、ワールドカップに関連した高額な報酬で誘い込まれます。50ドルの現金バウチャーや無料の試合観戦といった控えめな特典から、8,000ドル相当のVIPパッケージに至るまで、内容はさまざまです。これらの罠は、興奮を煽り、緊急性を演出し、防御を低下させるように設計されています。
2. 返信を促す
これらのメールには悪意あるリンクや添付ファイルが含まれていません。その代わり、被害者には送信者へ直接返信させる、あるいは攻撃者が管理する二次的なアドレスへ手動でメールを送らせ、賞品を受け取るよう指示します。検知されるべきペイロードは存在しません。
3. なぜセキュリティフィルターを回避できるのか
- 最新のメールセキュリティは、URLやファイル添付を精査します。純粋にテキストベースの返信を強制することで、初回の配信は安全と判断され、自動スキャンを通過します。
- ユーザーが返信した瞬間、そのアカウントが実際に使われていて、常にチェックされており、この種のソーシャルエンジニアリングに引っかかりやすいことが、攻撃者に伝わってしまいます。
4. 返信後の流れ
被害者が最初の罠に反応すると、フォローアップのメールが次の2つのペイロードのいずれかを展開します。
- クレデンシャルハーベスティング:「登録状況を確認する」という名目で、企業のログイン認証情報を要求。
- 前払い金請求:「本人確認」の名目で個人情報を収集し、その後「税金・登録料・処理手数料」といった架空の名目で送金を要求。

担当部署向けの注記: 返信を促すこのようなキャンペーンには、スキャナーが検査すべきペイロードが存在しません。検知には本文の分析が必要です。このような手口に対する主要な対策は、ユーザーのセキュリティ意識向上トレーニングです。
侵害の痕跡(IOC)
侵害の痕跡はすべて無害化処理を施しています。本番環境からのアクセスは行わないでください。調査に使用してよいのは、パッシブDNS、過去のWHOIS情報、Shodan、サンドボックス環境のスキャナーに限られます。また、被害者の生の個人情報(PII)を公開スキャンサービスへ送信することも避けてください。
セキュリティ担当部署が取るべき対応
ブロックとフィルタリング
- すべてのIOCを直ちにゲートウェイのブロックリストに追加してください。優先度が高いのは、fifahiring[.]com、fifa-careerhub[.]com、fifaworldcup-jobs[.]com、otakusignalflow[.]com です。
- 「FIFA」および「World Cup」のなりすましを検知する表示名ルールを作成してください。これらの文字列が表示名に含まれ、かつ送信ドメインが検証済みのFIFAまたは大会公式ドメインでない外部メールをすべてフラグ付けします。
- クリック時のリンク解析を有効にしてください。cl[.]s13[.]exct[.]net のリダイレクト連鎖により、配信前のURLスキャンは無効化されます。最終到達先をクリック時に検査することが必要です。
- テキストのみで、心当たりのない賞品・報酬メールをフラグ付けしてください。返信を誘導するフィッシングには検知できるペイロードがありません。本文レベルの挙動分析が必要です。
- ワールドカップをテーマにしたフィッシングシミュレーションを実施してください。チケット提供、偽の求人、賞品といった誘い文句はすべて現在も活動中であり、観測されたテレメトリによって裏付けられています。
- FIFAやワールドカップをテーマにしたソーシャルエンジニアリング攻撃について、従業員に周知してください。話題性のある時事的なニュースは、攻撃者が悪用することを、全員が理解できるようにしましょう。
大会の進行に伴い警戒すべき動向
- 試合の無料ライブ配信を謳う海賊版ストリーミングサイト。決勝トーナメントでは拡大が予想されます。
- 配車・駐車・スタジアム輸送に関する詐欺。自動車依存のインフラを背景に、米国開催会場に特有の手口です。
- グッズやレプリカユニフォームの詐欺。決勝トーナメント期間中、ブランド商品へのファンの支出が急増します。
原典:KnowBe4 Threat Lab著 2026年7月2日発信 https://blog.knowbe4.com/fifa-world-cup-2026-phishing-campaigns