FIFA ワールドカップに便乗した大規模フィッシングキャンペーン、偽ホテル予約サイト・偽FIFA公式サイトのクローンも|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月22日更新日時: 2026年06月22日

セキュリティ企業Forcepoint X-Labsの研究者Prashant Kumar氏のチームは2026年6月、開催中のFIFAワールドカップ2026の人気に便乗した大規模かつ多種多様な進行中のフィッシング・詐欺キャンペーンを確認したことを明らかにしました）。

Kumar氏はhackread.comへの提供コメントで「FIFAをテーマにしたフィッシング・悪意あるキャンペーンを調査し、FIFAワールドカップ2026ブランドを悪用した大規模かつ活動中の多変種フィッシング・詐欺キャンペーンを観測した」と述べています。

同チームが特定した詐欺は100を超える偽サイトリンクに及び、大きく3種類のパターンに分類されます。最大規模の手口は、cn-web-fifacwc.com・zone-2026fifa.comといった偽リンクを通じて、進行中の試合に紐づく違法賭博プラットフォームへファンを誘導するものです。次いで、ダラス・マイアミ・ニューヨークなど開催都市向けにカスタマイズされた14の偽ホテル予約ネットワークが確認されており、これらは「fifaworldcup2026cityhotels.com」という共通の命名規則のもと、わずか32分間隔で連続登録されたことが判明しています。

さらに攻撃者はfifa.monsterというドメインでFIFA公式サイトの構造をそのまま複製し、訪問者を密かに追跡して追加のスパム広告を表示する手口も確認されました。CloudSEK・Netcraftといった他のセキュリティ企業の調査では、この攻撃基盤の運営元が中国の脅威アクターであり、tbpay.ukという不正な決済管理パネルを使用していること、さらに正規のライブチャットサービス「tawk.to」を埋め込んでサイトの信憑性を演出していることも特定されています。本記事ではForcepoint X-Labsの一次調査内容・3つの詐欺パターンの詳細・ファンが取るべき対応を解説します。

サマリー

発表：2026年6月19日（hackread.com経由でForcepoint X-Labsの調査結果が公開）
調査主体：Forcepoint X-Labs（研究者：Prashant Kumar氏）
確認された偽サイトの総数：100超
詐欺の3つのパターン：

パターン	内容	代表的なドメイン例
①違法賭博への誘導（最大規模）	進行中の試合に紐づけた違法賭博プラットフォームへ誘導。中国語ベースだがフランス・アフリカ・アジア向けにローカライズ	`cn-web-fifacwc.com`・`zone-2026fifa.com`
②偽ホテル予約ネットワーク（14サイト）	開催都市（ダラス・マイアミ・ニューヨーク等）向けにカスタマイズ。32分間隔で連続登録。クレジットカード情報の窃取が目的	`fifaworldcup2026cityhotels.com`形式
③偽FIFA公式サイトのクローン	FIFA公式サイトの構造を複製し訪問者を追跡・スパム広告配信	`fifa.monster`

チケット購入詐欺の実例：ww-fifa.com等のリンクでリアルなオンライン決済画面を表示し、試合の座席確保を急ぐファンを狙う
組織性に関する追加調査（CloudSEK・Netcraft）：
- 主要な運営基盤は中国の脅威アクターに追跡される
- 不正な決済管理パネル「tbpay.uk」を使用
- サイトの信憑性を演出するため、正規のライブチャットサービス「tawk.to」を埋め込み
Forcepointの対応：確認済みの偽サイトおよびその共有バックエンドシステムを積極的にブロック。大会期間中、攻撃者が日々生成する類似ドメインを阻止するための新ルールを継続的に作成中

1 なぜ今、FIFAワールドカップ2026が標的になっているのか
2 詐欺パターン①：違法賭博への誘導（最大規模の手口）
3 詐欺パターン②：32分間隔で量産された偽ホテル予約サイト
4 詐欺パターン③：FIFA公式サイトの精巧なクローン
5 組織性を裏付ける追加調査——中国の決済パネルと「正規サービスの悪用」
6 Forcepointの対応状況
7 ファン・一般利用者が今すぐ実施すべき対策
8 企業・組織への教訓
9 FAQ
10 参考情報

なぜ今、FIFAワールドカップ2026が標的になっているのか

2026年大会は48チーム・米国/カナダ/メキシコの16開催都市・推定数十億人規模の世界的視聴者を擁する、史上最大規模の男子ワールドカップです。この規模の大きさそのものが、サイバー犯罪者にとって極めて魅力的な標的環境を生み出しています。

他のセキュリティ企業の調査でも、今大会を狙った脅威の急増が裏付けられています。

FortiGuard Labs：2026年1〜5月の間に1万3,000件超のFIFAワールドカップ関連の新規ドメインが登録され、うち約8.8%が悪意あるまたは不審なものと特定
CybelAngel：2025年8月以降、4,300件超の不正なFIFA関連ドメインを追跡。「GHOST STADIUM」と呼ばれる中国語話者の金銭目的グループが、300超のサイトで単一のフィッシングキットを運用
Group-IB：FIFAの公式シングルサインオン（PingIdentity運営）を本物のクライアントIDごと精巧に模倣した偽ログインページを確認。画像をFIFA公式サーバーから直接読み込むことで、画像比較ベースの検知ツールをすり抜ける手口も特定

これらの調査結果は、Forcepoint X-Labsが指摘する「大規模かつ多変種」という評価の妥当性を裏付けています。

詐欺パターン①：違法賭博への誘導（最大規模の手口）

Forcepointが特定した最大規模の詐欺は、進行中の試合に連動した違法賭博プラットフォームへの誘導です。

cn-web-fifacwc.com・zone-2026fifa.comといったドメインが使われ、中国語のテキストを含みながらも、フランス・アフリカ・アジア向けにカスタマイズされた国際版まで用意されている点が特徴です。

これは単純な使い回しのフィッシングページではなく、地域ごとにローカライズされた組織的なオペレーションであることを示しています。訪問者には「保証された」勝利・配当を約束する形で誘導されます。

CybelAngelの別の調査でも、「2026[.]com」という偽FIFA公式賭博プラットフォームを装うTelegramチャンネル群が確認されており、プロモーションチャンネル・入出金処理ボット・「カスタマーサービス」担当者まで備えた、本物のサービスを模した構造を持つことが判明しています。被害者が入金しても出金は決して実現しないという典型的な詐欺パターンです。

詐欺パターン②：32分間隔で量産された偽ホテル予約サイト

今回の調査で特に注目すべき技術的な発見は、14の偽ホテル予約サイトが、わずか32分間隔で連続登録されたという事実です。

これは攻撃者がドメイン登録を自動化・スクリプト化していることを強く示唆しています。これらのサイトは「fifaworldcup2026cityhotels.com」という共通の命名パターンに従い、ダラス・マイアミ・ニューヨークなど大会の主要開催都市ごとにカスタマイズされたバリエーションを持っています。

試合と試合の合間に直前のホテル予約を急いで探している旅行者をターゲットに、クレジットカード情報の入力を促す手口です。CybelAngelの調査でも、2026年4月29日の単一日に30件のドメインが一斉登録された事例が確認されており、同様の自動化された大量登録パターンが業界全体で観測されています。

詐欺パターン③：FIFA公式サイトの精巧なクローン

fifa.monsterというドメインでは、FIFA公式サイトの構造そのものが複製されており、訪問者を密かに追跡し、その後スパム広告を配信する仕組みとして使われています。

Group-IBの調査が示す通り、こうした偽サイトの中にはFIFAの実際のシングルサインオンシステム（PingIdentity運営）の認証フローを本物のクライアントIDごとそのまま模倣するなど、極めて精巧なものも確認されています。さらに画像をFIFA公式サーバーから直接読み込むことで、コピー画像を検知するセキュリティツールをすり抜ける手法も使われています。

組織性を裏付ける追加調査——中国の決済パネルと「正規サービスの悪用」

CloudSEKおよびNetcraftの調査によれば、今回のオペレーションは高度に組織化されています。

①中国を拠点とする脅威アクター：CloudSEKは主要な攻撃基盤を中国の脅威アクターに追跡しています。

②不正決済管理パネル「tbpay.uk」：窃取したクレジットカード情報・決済処理に、tbpay.ukという無許可の決済管理パネルが使用されています。

③正規ライブチャットサービスの悪用：攻撃者は偽サイトの信憑性を高めるため、正規のライブチャットサービス「tawk.to」を埋め込んでいます。これにより訪問者は「リアルタイムでサポートに問い合わせができる」という安心感を抱きやすくなり、サイトの正当性を誤認しやすくなります。

Forcepointの対応状況

Forcepointは、確認済みの偽サイトおよびその共有バックエンドシステムを積極的にブロックしていることを確認しています。大会期間中、攻撃者が日々新たに生成する類似ドメイン（ルックアライクドメイン）を阻止するため、継続的に新しい検知ルールを作成している状況です。

これは攻撃側のドメイン自動量産（32分間隔での登録等）に対抗するための、防御側の継続的な対応の必要性を示しています。

ファン・一般利用者が今すぐ実施すべき対策

① チケットは必ず公式サイト経由で

FIFAワールドカップ2026の公式チケット販売はFIFA.com/ticketsのみです。広告・SNSグループ・Telegramチャンネル・WhatsAppメッセージ・見覚えのない転売サイト経由のオファーは避けてください。

② ホテル予約サイトのドメインを必ず確認

「fifaworldcup2026[都市名]hotels.com」のような大会名を冠したドメインは、公式の予約代理店ではない可能性が高いことを認識してください。ホテル予約は信頼できる大手予約サイトまたはホテル公式サイトから直接行うことを推奨します。

③ ライブチャットの存在を「信頼の証」と誤解しない

サイトにライブチャット機能（tawk.to等）が組み込まれていても、それ自体は正当性の証明にはなりません。サイトの信頼性はドメイン名・SSL証明書情報・公式リンクからの参照の有無で判断してください。

④ 賭博サイトへの安易な登録を避ける

「保証された勝利」を謳う賭博サイトへの誘導には特に警戒してください。違法賭博プラットフォームは出金が実現しない設計になっていることが多く、入金した時点で金銭的被害が確定します。

⑤ クレジットカード情報の入力前にURLを再確認

支払い情報を入力する直前に、ブラウザのアドレスバーに表示されているドメインが公式のものと完全に一致しているかを必ず確認してください。

⑥ 不審なサイトを利用してしまった場合

クレジットカード情報を入力してしまった場合は、直ちにカード会社に連絡してカードの利用停止・再発行を依頼し、明細に身に覚えのない請求がないか確認してください。

企業・組織への教訓

旅行・宿泊・小売・金融・メディア等、ワールドカップに関連する業種の企業は、以下の対応を検討してください。

①ブランド保護モニタリングの実施：自社ブランドやFIFA関連の取引を装った偽ドメインが登録されていないか、定期的な監視を行ってください。

②従業員向けの注意喚起：大会関連の偽求人広告・スポンサー募集投稿を使った認証情報窃取の手口も確認されているため、従業員にも注意を促してください。

③決済・予約フローのなりすまし対策：自社の予約・決済システムが偽サイトによってなりすまされていないか、定期的なドメイン監視・商標監視を実施してください。

FAQ

Q. これらの偽サイトはまだ稼働していますか？ A. Forcepointは確認済みのサイトを積極的にブロックしていますが、攻撃者は日々新しい類似ドメインを生成しているため、本記事執筆時点でも新たな偽サイトが継続的に出現している可能性が高い状況です。

Q. 日本からのアクセスでも被害に遭う可能性はありますか？ A. 確認された偽サイトはフランス・アフリカ・アジア向けにローカライズされたバージョンも存在するとされており、日本語圏を含む国際的なファンも標的となる可能性があります。チケット・ホテル予約はいずれも公式チャネルのみを利用してください。

Q. tawk.toというサービス自体に問題があるのですか？ A. いいえ。tawk.to自体は正規のライブチャットサービスです。今回の問題は、攻撃者がこの正規サービスを偽サイトの信憑性を演出するために悪用している点にあります。