リードアナリスト:Jeewan Singh Jalal、Louis Tiley
KnowBe4 Threat Labsは、2026年4月第1週から6月22日までのフィッシング活動を追跡しました。その結果、ワールドカップ前の盛り上がりから開幕直前、そしてグループステージの戦いが繰り広げられる現在に至るまで、攻撃が段階的にエスカレートしている実態が最新の追跡データから明らかになりました。
大規模なグローバルイベントが開催されるたびに、それに便乗した攻撃が急増します。今年のFIFAワールドカップも例外ではありません。KnowBe4 Threat Labsは、2026年4月第1週からワールドカップ関連のフィッシング活動の追跡を開始しました。その結果明らかになったのは、開幕直前にピークを迎え、大会が始まってからも勢いを増し続けるキャンペーンの実態でした。
試合が本格化してから12日が経過した時点のデータを見ると、攻撃活動は、開幕日にピークを迎えて収束するどころか、その後も着実に増え続けています。
観測期間を通じて、攻撃者は類似ドメインの登録よりも表示名のなりすましを多く使っており、その頻度はドメインベースのなりすましの2〜3倍に達しています。従来のドメインレピュテーションによるフィルタリングでは、この攻撃ベクトルを防ぐことはできません。
分析ポイント:大会がいざ始まると、主流の名義が「ワールドカップ」から「FIFA」へと切り替わりました。これは攻撃者による意図的な戦術転換です。試合が実際に行われている状況では、統括団体であるFIFAの名義のほうが、不自然と感じることはなく信頼されやすいです。
私たちが追跡した中で最も技術的に洗練されていたキャンペーンは、チケット購入者ではなく求職者を標的にしていました。私たちは、FIFAの人事・採用チームになりすました巧妙な採用・アンケート詐欺を追跡しています。この手口は、カレンダー予約や偽アンケートのワークフローを悪用し、認証情報の窃取やクレジットカード情報の詐取を狙うものです。
攻撃の対象者は偶然選ばれたわけではありません。FIFAは、48チーム・16都市で開催される大会に向けて、数千人規模のスタッフやボランティアを積極的に採用しています。必然的に応募者は、履歴書の共有、認証、面接の予約を行うことを想定しているため、一般的なターゲットよりもはるかに脆弱になります。
標的は、FIFA採用担当部署を偽装したメールを受信します。送信者はAWSのアプリケーションサービスや外部のヘルプデスクプラットフォームを悪用し、SPF/DKIMフィルターをすり抜けます。具体的に確認されたインフラは次の通りです。
これらは技術的に正規の送信サービスであり、有効なSPFレコードを持つため、メールは認証チェックを通過して標的の受信トレイに到達します。
一次面接を予約するための「カレンダーの空き状況を確認する」または「こちらで時間を選択してください」という、心理的抵抗の低い行動喚起(CTA)を提示し、一次面接の予約を促します。このメールは、ペイロードを一切使用していないため、スキャナーが検知できる添付ファイルなどは存在しません。
カレンダーのリンクをクリックすると、被害者は追跡リンク(cl[.]s13[.]exct[.]net)を経由して、FIFAを装ったランディングページへリダイレクトされます。直接確認されたページは次の2つです。
このリダイレクトの連鎖により、配信時にリンクを検査するURLスキャナーから最終的な到達先が隠されます。
面接枠を確定させるため、被害者はGoogleまたはMicrosoftのSSO(「Googleログインで続ける」など)による認証を求められます。サインインを試みた瞬間、企業または個人の認証情報がリアルタイムで窃取されます。
これと並行して、偽アンケートが標的に提示されます。信憑性を高めるため、ECサイトやSNSのように口コミが次々と表示される仕組みです。回答を終えると、被害者は otakusignalflow[.]com へリダイレクトされ、わずか2.35ユーロの「送料」を支払わせる名目で、カード番号、CVV、有効期限をリアルタイムで詐取されます。
この採用キャンペーンは、fifaworldcup-jobs[.]com に構築された、偽のFIFA採用ポータルによってさらに補強されています。このサイトは「FIFAワールドカップ スポンサーシップパッケージ」「無料のリモート求人掲載」「FIFAワールドカップ イベント求人」など、それらしい求人カテゴリが掲載されています。ただし、証明書検査を有効にしているユーザーがこのドメインにアクセスすると、ブラウザのTLS警告が表示されます。
標的型の採用キャンペーン以外にも、大量に配信されるキャンペーンが存在します。これは、ワールドカップのチケットの希少性と大会の影響力を利用し、できるだけ多くの受信トレイに届くよう設計された、大量に生成されたフィッシングです。
大半の攻撃は、抽選販売やスポンサー付きチケットの提供を通じた、チケットの購入・販売・譲渡に焦点を当てています。人気試合のチケットは実際に希少で、価格プレミアムも大きいため、この手口は効果的です。
地域による傾向の違いも確認されています。米国で観測されたフィッシングはチケット詐欺が中心である一方、英国ではマーケティングやエンゲージメントを狙った手口(スポンサー付き観戦パーティー、イベント、グッズ割引など)の割合が高くなっています。
また、拡大しつつあるのが、米国のスタジアム周辺での旅行・駐車・交通に関連する手口です。自動車依存のインフラが配車サービスや駐車場サービスの需要を生み出しているためです。現時点では件数は少ないものの、決勝トーナメントがより多くの観客を集めるにつれて拡大すると予想されます。
今後想定されるものの、まだ大きな件数では確認されていないカテゴリとしては、賭けや懸賞金、海賊版ライブ配信サイトへの悪意あるリンクなどが挙げられます。
info@grupotrabajopn[.]infoからドイツ語のFIFA関連のアンケート型詐欺が展開されたことが6月15日確認されました。これは、このキャンペーンが英語圏の標的にとどまらず、複数の言語市場で展開されていることを裏付けています。
更新されたテレメトリにおいて、第3のキャンペーン動向が特定されました。採用関連や大量配信型のキャンペーンとは異なり、これらのメールには悪意あるリンクや添付ファイルが一切含まれていません。そのため、ペイロードをスキャンするメールセキュリティツールからは、ほぼ検知されない仕様になっています。
ユーザーは、ワールドカップに関連した高額な報酬で誘い込まれます。50ドルの現金バウチャーや無料の試合観戦といった控えめな特典から、8,000ドル相当のVIPパッケージに至るまで、内容はさまざまです。これらの罠は、興奮を煽り、緊急性を演出し、防御を低下させるように設計されています。
これらのメールには悪意あるリンクや添付ファイルが含まれていません。その代わり、被害者には送信者へ直接返信させる、あるいは攻撃者が管理する二次的なアドレスへ手動でメールを送らせ、賞品を受け取るよう指示します。検知されるべきペイロードは存在しません。
被害者が最初の罠に反応すると、フォローアップのメールが次の2つのペイロードのいずれかを展開します。
担当部署向けの注記: 返信を促すこのようなキャンペーンには、スキャナーが検査すべきペイロードが存在しません。検知には本文の分析が必要です。このような手口に対する主要な対策は、ユーザーのセキュリティ意識向上トレーニングです。
侵害の痕跡はすべて無害化処理を施しています。本番環境からのアクセスは行わないでください。調査に使用してよいのは、パッシブDNS、過去のWHOIS情報、Shodan、サンドボックス環境のスキャナーに限られます。また、被害者の生の個人情報(PII)を公開スキャンサービスへ送信することも避けてください。
原典:KnowBe4 Threat Lab著 2026年7月2日発信 https://blog.knowbe4.com/fifa-world-cup-2026-phishing-campaigns