2026年FIFAワールドカップは、一代に一度の機会であり、脅威アクターたちはすでにこれを悪用しています。6月11日に開幕予定の2026年FIFAワールドカップは、開催国数、試合数、そして優勝チームへの賞金額において、すでに過去最高を記録しています。Arctic Wolfは、この大会を取り巻く犯罪エコシステムを積極的に調査しました。 当社の調査によると、開幕の数ヶ月前から悪意のあるインフラがすでに構築され、完全に稼働していたことが判明しました。また、そのインフラは圧倒的にモバイルファーストであり、その活動範囲はファンを騙すことを超え、大会を運営する人々や組織を直接標的にするまでに拡大しています。
防御担当者にとって最も重要な技術的発見は、MFA(多要素認証)だけでは、ワールドカップに関連する組織を保護できないということです。私たちが発見したある偽の求人フィッシングキットは、リアルタイムの「敵対者中間者(AiTM)」リレーを実行し、被害者のワンタイムコードが発行されてから数秒以内に、攻撃者自身のログインセッション内でそのコードを消費してしまいます。多要素認証(MFA)コードは、送信中に破られているのです。
本レポートで提示する調査結果は、2026年1月以降に新規登録されたワールドカップ関連ドメインの継続的な監視、およびWhatsApp、Telegram、Discord上の不審なチャネルの追跡に基づいています。
ソーシャルメディア上で宣伝されている不審なWhatsApp、Telegram、Discordチャンネルへの追跡調査、回収されたマルウェアサンプルの静的および動的解析、ならびにFIFAのブランド名や共有されたアーティファクトを悪用して展開されているインフラストラクチャに基づいています。なお、攻撃チェーンについて記述している箇所は、回収されたサンプルや稼働中のインフラストラクチャから直接観察された動作を反映したものであり、理論的なモデル化によるものではありません。本レポートにおけるすべての発見事項は参考情報です。
私たちが観察したほぼすべての事例に共通する中核的なパターンは次の通りです。ソーシャルメディア上の投稿が外部プラットフォーム(通常はWhatsApp、Telegram、またはDiscord)へのリンクを含んでおり、実際の詐欺の手口はソーシャルメディア上ではなく、メッセンジャー内に存在します。
この間接的な手法は意図的なものであり、2つのレベルで機能します。ソーシャルメディアプラットフォーム上では、リンクはメッセンジャーの招待のみを指しているため、投稿自体は「クリーン」な状態を保ち、削除を回避しつつ、新たな被害者を引き込み続けます。メッセンジャー内部では、オペレーターはより広い裁量の余地を持ち、それを有利に活用します。 モバイル端末は一般的にフィッシングに対する防御が弱く、さらに(決定的な点として)ユーザーはデスクトップよりもスマートフォン上で目にするコンテンツを信頼する傾向があります。モバイルマルウェアの仕組みに関する一般の認識が低いため、ファンはモバイルリンクがマルウェアを運んだり、金銭的損失をもたらしたりする可能性について、立ち止まって考えることが少ないかもしれません。
図1:WhatsAppに表示されたFIFAワールドカップの試合広告。
その誘い文句自体は、ファンにとって魅力的すぎるほどに聞こえるいくつかのテーマに集中しています。具体的には、試合の無料ストリーミング、「勝者を予想する」賭け、格安チケットの購入、そして大会に関連した様々な仮想通貨の話題などです。リンク先のサイトの大部分は、AIによって生成されたものであるようです。
実際には、ファンにとって最も被害の少ないケースでも、デバイスへのアドウェアのインストールや、不正なオンライン決済による金銭的損失の可能性があります。そこから先は、事態はさらに悪化するばかりです。
私たちが繰り返し確認した手口の一つは、サイバー犯罪者が、被害者が時間的プレッシャーにさらされ、(理論上)批判的に考える能力が低下するまで、悪意のあるペイロードの実行を遅らせるというものです。数週間前から悪意のあるリンクをばら撒くのではなく、私たちが観察したいくつかのチャンネルやグループは、キックオフの5分前に直接ストリーミングリンクを投稿すると約束し、単に「今すぐ登録してください」とユーザーに求めていました。(「試合開始5分前に、ストリーミングリンクを即座に入手」とある誘い文句もありました。) 試合開始直前になると、ファンは興奮の絶頂にあり、リンクが悪意のあるものかどうかを確認する余裕がない可能性があります。そのため、リンクをクリックし、ページに表示される「はい」の確認画面をすべて承諾してしまい、試合を観戦しようとする一方で、バックグラウンドではデバイスが静かに侵害されていることになります。また、ワールドカップ期間中、試合開始数分前、あるいは試合中に悪意のあるリンクが配信され、脅威の相当な割合が現実のものになると予想されます。
図2:この「5分前」という誘い文句は、興奮したファンがリンクを確認せずにクリックしてしまうことを狙ったものです。
このサイバー犯罪エコシステムの消費者向け側面は広範囲に及びますが、あるモバイルのサンプルは、一部の攻撃者がいかに早期から、そしていかに真剣にこれに投資しているかを示しています。
大会の約6ヶ月前、ワールドカップのチケット購入を装って配布されたモバイルマルウェアが、aaworldcuptickets[.]comというサイトから「FIFA_WorldCup_Tickets.apk」として配信されていました。このAndroid向けパッケージは多段階ローダーとなっており、プライマリのclasses.dexが第1段階のDEXを復号し、そのDEXがさらに第2段階のDEXを復号します。 そのメインペイロードは、感染したデバイス上で仮想通貨のマイニングを行い、ドメイン fud2026[.]com 下のコマンド&コントロール(C2)インフラ(ポート 9000 上のマイニングプールを含む)にビーコンを送信します。このドメインは以前、ブラジルやインドでの攻撃でも確認されており、既存のオペレーターがワールドカップ向けにインフラを転用していることを示唆しています。完全なハッシュ値と C2 情報は、当社の公開 GitHub にある IOC テーブルに記載されています。
より斬新であり、おそらくはより深刻な発見は、攻撃者が大会の主催者や、イベント自体の広範なサプライチェーンを標的にしているという点です。
フィラデルフィアは、米国、カナダ、メキシコ全土の計16都市のうち、米国側の11の開催都市の一つであり、リンカーン・フィナンシャル・フィールドで6試合を開催する予定です。 私たちは、同市で大会業務に携わる人々を直接標的とした、特注のPDFファイルを回収しました。それは「従業員ハンドブック – FIFAワールドカップ2026フィラデルフィアにおける雇用について」と題された3ページの文書です。この文書はリバティ・ベルをモチーフにしており、信頼性の高い人事部門のレイアウトで作成されています。また、そのメタデータには、同市の正規の観光機関(discoverphl.com)と、内部の宛先となる人物の名前が記載されています。
図3:フィラデルフィアで大会業務に携わる人々を標的とした「従業員ハンドブック」。
ペイロードは、クィッシング(quishing)として知られるQRコードフィッシングの手法によって配信されます。この文書は、「ハンドブックのデジタル版にアクセスする」ためにQRコードをスキャンするよう被害者に求める文で締めくくられており、カメラを起動して(悪意のある)リンクをタップするための親切な手順ガイドまで完備されています。デスクトップよりも一般的にセキュリティ対策が不十分なモバイル端末では、そのQRコードが被害者を悪意のあるリソースへとリダイレクトします。
図4:フィラデルフィアの偽「従業員ハンドブック」文書の裏面に記載された悪意のあるQRコード
この悪意のあるPDF文書に関しては、いくつかの点が注目に値します:
配信パターンが汎用的なもの(PDF → QRコード → セキュリティ対策が不十分なモバイル端末で悪意のあるリソースが開かれる)であるため、他の開催都市も同様の手口で標的にされている可能性が高いです。
FIFAのロゴとブランディングを分析した結果、「FIFAでの採用」を装うために特別に構築された一連の偽装ドメイン群が判明しました。2026年5月28日現在、fifa-careerpath[.]com、fifahiring[.]com、jobs-fifa[.]comなど、10のドメインを特定しました(完全なリストは当社の公開GitHubでご覧いただけます)。
図5:「FIFAの採用担当者」との偽の会議への実際のGoogleカレンダー招待状。この採用担当者の身元は、偽造されたものであるか、LinkedInから盗まれたものである可能性があります。
彼らの目的は、企業のGoogle Workspaceアカウントの盗用であり、このキットは一般的な静的な認証情報収集ページよりもはるかに高度なものです。すべての通信は、https://fifeq2026eqbackeq[.]onrender[.]comでホストされている単一のバックエンドと行われます。ここで、本来「fifa2026back」と読める部分を隠蔽するために、eqという文字列が埋め込み文字として挿入されています。
この一連のプロセスは、5つの明確なフェーズで展開されます:
MFA画面を表示します。被害者が認証を完了すると、生成されたコードが /api/twofa(または
/api/sms、/api/email)に転送され、同時にGoogleへ送信されます。これで4つの当事者がリアルタイムで同期されます。
図6:企業向けGoogle Workspacesの乗っ取り:攻撃チェーン。
ここでMFAが役に立たない理由:2つ目の認証要素は、発行されてから数秒以内に、攻撃者のセッション内で消費されてしまいます。ワンタイムコードやSMS/メールによる承認では、この仕組みに対する防御にはなりません。フィッシング攻撃に耐性のある認証(ターゲットの正当なオリジンと暗号的に紐付けられたパスキーやFIDO2/WebAuthnハードウェアキーなど)のみが、このリレーを阻止できます。
図7:2026年ワールドカップのチケット価格を宣伝するおとり画像。
従来のWindowsデスクトップマシンからチケットを購入するユーザーも安全ではありません。「2026年ワールドカップのチケット価格」を宣伝するおとり画像(上記参照)を含む悪意のあるアーカイブを分析しました。 その攻撃チェーンは単純ですが効果的です。「WorldCup_Tickets_Viewer?gnp.exe」を装って配信されたファイルは、偽装されたJPEG画像と共に、難読化されたバッチスクリプト(datafacebook_obf.bat)を解凍します。このバッチファイルが実行されると、包括的な情報窃取ツールとして機能するUPX圧縮された実行ファイルがドロップされます。
図8:図7に示したおとり広告用の悪意のあるアーカイブの内容。
マシンが感染すると、ブラウザの機密情報(Cookie、保存されたパスワード、自動入力および支払いプロファイルデータ、閲覧履歴および検索履歴)、メッセージングおよびセッション関連データ(Discordトークン、Telegramのtdata)、クリップボードの内容およびデスクトップのスクリーンショット、保存されたWi-Fiプロファイルとパスワード、さらにSteamのセッションデータ、FileZillaの認証情報、PuTTYの鍵とセッション、WinSCP / KeePass / 1Password関連データなど、多岐にわたるアプリケーションの認証情報を収集します。盗み出されたデータはすべて、攻撃者が管理するTelegramおよびDiscordのチャンネルへ流出されます。この攻撃で得られたハッシュ値は、当社の公開GitHubで確認できます。
2026年1月以降、ワールドカップという広範なテーマの下で登録された新規ドメインを1万件以上、月平均約2000件カタログ化しました。その大半は悪意のあるものではないと思われますが、新規ドメインの膨大な量に加え、生成AI(サイトの立ち上げ、コンテンツ作成、さらにはアプリケーションの生成にも使用されています)の普及により、信憑性があり、かつ独自の誘引手段を立ち上げるコストは劇的に低下しました。
この種の攻撃の自動化は新たな段階に達しており、その量だけでも、防御側による手動での選別は現実的ではありません。
私たちが調査した脅威のいくつかは、大会開催中にピークを迎えるよう仕組まれています。試合開始直前や試合中に、土壇場での「無料ストリーミング」リンクが大量に拡散されること、開催都市の運営が本格化するにつれて、現地スタッフやベンダーに対するクィッシング攻撃が継続すること、そして、Google Workspaceの利用状況が大会と関連付けられる組織を標的としたAiTMフィッシング攻撃が持続することが予想されます。デスクトップ向け情報窃取型マルウェアの脅威
は、チケットの需要を追跡するでしょう。要するに、現在確認されている活動はリハーサルに過ぎず、攻撃者にとっての本番は、他のすべての人々にとっての本番と重なるのです。
Arctic Wolfはサイバーリスクの根絶に取り組んでおり、活発なキャンペーンが特定された際には、迅速に顧客を保護します。当社は、この脅威活動に関する脅威インテリジェンスを活用し、顧客環境や利用可能なテレメトリに応じて、Aurora® Superintelligence Platformでの検知機能を強化しています。
このキャンペーンを追跡し、新たな情報を発見するにつれ、この悪意ある活動の背後にいる脅威グループが利用する追加の侵害の兆候(IOC)や手法を考慮し、検知機能をさらに洗練させていく可能性があります。
攻撃者は、開幕戦が始まるのを待たずに攻撃を開始しています。2026年FIFAワールドカップの数ヶ月前から、成熟した犯罪エコシステムはすでに、防御のあらゆる層を横断してこのイベントを密かに金銭化しており、その活動はファンを騙すことから、大会を運営する組織そのものを侵害することへと拡大しています。
その戦略は単純です。ソーシャルメディア上の餌はクリーンな状態を保ち、被害者をメッセンジャーへと誘導します。そこで、モバイルファーストの配信手法が、防御の脆弱性とユーザーの信頼の高さを悪用します。一部の攻撃は、監視が最も緩む瞬間、通常はキックオフの5分前、ファンの興奮が最高潮に達するタイミングで発動するように設定されています。 標的には現在、説得力のある人事関連文書を用いた「クィッシング」を通じて接触される開催都市のスタッフや、従来の多要素認証(MFA)をリアルタイムで無効化するフィッシングキットを通じて接触されるGoogle Workspaceを利用するあらゆる組織が含まれています。一方、従来のWindows向け情報窃取型マルウェアは、ファンの認証情報やセッションデータをTelegramやDiscordへと流し続けています。生成AIがこれらすべてを支えており、数千もの個別の信頼性の高いドメイン、サイト、アプリの作成コストを劇的に削減しています。
防御側にとって、ここでの優先事項は明確です。直ちにフィッシング耐性のある認証を導入し、QRコードや「転送禁止」という圧力を本質的に敵対的なものと見なし、ここで説明したドメインクラスターを追跡し、開催都市間でインジケーターを共有することです。私たちが観察した一般的な配信パターンは、ほぼ間違いなく、まだ確認されていない並行するキャンペーンを示唆していると私たちは考えています。本レポートで記録された活動は、本番に向けたリハーサルに過ぎません。攻撃者にとっての本番は、世界中の他の人々にとっての本番と重なることになるでしょう。
法的免責事項:帰属に関する記述は、本レポート作成時点におけるArctic Wolf Labsの評価を反映したものであり、新たな証拠に基づき変更される可能性があります。脅威アクターの身元、関連性、および意図に関する言及は、分析上の判断であり、法的事実の表明ではありません。本アラートは情報提供のみを目的としており、検知や防止を保証するものではありません。防御の効果は、環境、設定、および利用可能なテレメトリによって異なります。
本レポートで言及されている、侵害の兆候(IoC)、ファイルハッシュ、フィッシングドメイン、行動/情報流出の兆候など、その他の付録セクションについては、当社の公開GitHubリポジトリをご覧ください。
Arctic Wolf Labsは、精鋭のセキュリティ研究者、データサイエンティスト、セキュリティ開発エンジニアからなるグループです。当グループは、セキュリティに関するトピックを調査し、新規および新興の脅威に関する最先端の脅威研究を提供するとともに、人工知能(AI)や機械学習を活用した高度な脅威検知モデルの開発・改良を行い、Arctic Wolfが提供するソリューションの速度、規模、検知効率の継続的な改善を推進しています。Arctic Wolf Labsは、Arctic Wolfの顧客基盤だけでなく、セキュリティコミュニティ全体に世界クラスのセキュリティイノベーションをもたらします。
(注:このセクションは、Arctic Wolfの公開GitHubに掲載されます。)侵害の兆候(IOC)
注:本レポートには、防御目的で使用される機密性の高い技術的指標が含まれています。これらの指標や手法を攻撃目的で使用しないでください。
| Indicator | Type | Context |
| aaworldcuptickets[.]com | Domain | Distribution site for the FIFA tickets crypto-
miner APK |
| Accessor[.]fud2026[.]com | Domain (C2) | Crypto-miner command-and-control |
| fud2026[.]com | Domain (C2) | Crypto-miner C2; previously seen in
Brazil/India |
| pool[.]fud2026[.]com:9000 | Host:port (C2) | Mining pool |
| pool-proxy[.]fud2026[.]com:9000 | Host:port (C2) | Mining pool proxy |
| Fifeq2026eqbackeq[.]onrender[.]com | Domain
(backend) |
AiTM fake-careers phishing backend
(“fifa2026back” obfuscated) |
| ipwho.is | Domain
(abused, benign) |
This is a legitimate domain (a geolocation
service) but it can be abused for victim IP/geo profiling. If you don’t use it in your corporate network, use it as an alert for any process talking to that service. |
| Domains |
| fifa-careerpath[.]com |
| fifa-hiringhub[.]com |
| Domains |
| fifahiring[.]com |
| fifajobs[.]com |
| jobs-fifa[.]com |
| fifa-careerhub[.]com |
| fifa-careerportal[.]com |
| fifa-hr[.]com |
| fifa-talenthub[.]com |
| fifa-hiring[.]com |
| Artifact | SHA-256 |
| FIFA_WorldCup_ Tickets.apk | f753a9aa8ae2f7bb058feb524b6bbac9b25450216359181cd11410d8519dd600 |
| Primary
classes.dex |
54a7d368b2f7817a0d8ee1f210e305207ef824f15c5d4e652adcdc4deb457928 |
| Decrypted first-
stage DEX (stage1.dex) |
58e39152786a0f48dd005e4189769be9e0c2e2d0067c8128252d91ae85559117 |
| Decrypted second-
stage DEX (stage2/classe s.dex) |
27ab53a4649d6fbb7395bf7caa1790d49615efbb7286ad298a37868f139b21c8 |
| Artifact | SHA-256 |
| FIFAWorldCup26PhiladelphiaQ2Handbook.pdf | 684fc3474df1bf51e964abe2442e35a5c0bc437d2b83c 9aef8ce2d33903a2793 |
| Artifact | SHA-256 |
| WorldCup_Tickets_Viewer?gnp.exe
(delivered file) |
234e4a0709a9359da8a0de1b274bf557874d3787602d4
292d54563d5a439f53b |
| datafacebook_obf.bat (dropper script) | 98c884d4c9931cdfc85df26a57283c4b4801f7810f4b7ee2398002e473643801 |
| photo_6266937823168499674_m.jpg
(decoy) |
0ec56970734aae3e5401bb9856455db753b574f5fcb0e 4487f8ab92e15678024 |
| Field | 値 |
| /Title | 64cbf60f4d3853579576d909efb4eeec.html |
| /Creator | Mozilla/5.0 (Windows NT 10.0; Win64; x64) … HeadlessChrome/139.0.0.0 Safari/537.36 |
| /Producer | Skia/PDF m139 |
| /CreationDate | D:20250916174018+00’00’ |
| /ModDate | D:20250916174018+00’00’ |
| Targeted organization | discoverphl.com |
| Intended recipient | a***@discoverphl.com (partially redacted) |
| 指標 | 状況 |
| Crypto-mining C2 on *.fud2026[.]com:9000 | Android miner payload |
| localStorage key user_created; endpoints /api/new-user,
/api/booking, /api/login, /api/twofa, /api/sms, /api/email |
AiTM phishing kit |
| Exfiltration of stolen data to Telegram and Discord | Windows infostealer |
| Indicator | Context |
| .bat-spawned, UPX-packed executable | Windows infostealer dropper
behavior |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。