概要 2026年FIFAワールドカップは、一代に一度の機会であり、脅威アクターたちはすでにこれを悪用しています。6月11日に開幕予定の2026年FIFAワールドカップは、開催国数、試合数、そして優勝チームへの賞金額において、すでに過去最高を記録しています。Arctic Wolfは、この大会を取り巻く犯罪エコシステムを積極的に調査しました。 当社の調査によると、開幕の数ヶ月前から悪意のあるインフラがすでに構築され、完全に稼働していたことが判明しました。また、そのインフラは圧倒的にモバイルファーストであり、その活動範囲はファンを騙すことを超え、大会を運営する人々や組織を直接標的にするまでに拡大しています。 主な調査結果：  AIが攻撃の自動化を拡大しています。2026年1月以降、ワールドカップをテーマにしたドメインが1万件以上出現しており、そのペースは月間約2,000件に上ります。すべてが悪意のあるものというわけではありませんが、生成AIがサイトやコンテンツ、さらにはアプリまで生成するようになったことで、攻撃の自動化は新たな段階に達しています。 脅威はスマートフォンへと移行しています。2026年の主な攻撃対象はモバイルデバイスです。ソーシャルメディア上では一見「無害」に見える投稿が餌となり、被害者をWhatsApp、Telegram、またはDiscordへと誘導します。そこで、プラットフォームの監視の目を逃れ、ユーザーが目にする情報を信頼し、サイバー防御が脆弱な環境下で、実際の詐欺やマルウェアの配布が行われます。 タイミングは武器となります。多くの悪意ある作戦は、最後の瞬間に発動するよう設計されています。チャンネルは、各試合開始の5分前に「無料ストリーミング」リンクを配信すると約束して購読者を集めます。このタイミングは、興奮したファンがリンクが悪意あるものかどうかを確認する余裕がないことを利用したものです。 標的となっているのはファンだけでなく、主催者側も同様です。私たちは、米国の開催都市のスタッフを狙った悪用された「従業員ハンドブック」PDFや、企業のGoogle Workspaceアカウントを盗むために仕組まれた偽の「FIFAキャリア」サイトの群れを特定しました。これは、イベント自体のサプライチェーンが標的となっていることを示しています。 デスクトップ向け情報窃取型マルウェアは依然として活発です。私たちは、ワールドカップのチケットを餌にしたマルウェアを発見しました。これはWindows向けの情報窃取型マルウェアを配信し、被害者のマシン上のあらゆる重要なデータを、攻撃者が管理するTelegramやDiscordのチャンネルへと流出させます。 防御担当者にとって最も重要な技術的発見は、MFA（多要素認証）だけでは、ワールドカップに関連する組織を保護できないということです。私たちが発見したある偽の求人フィッシングキットは、リアルタイムの「敵対者中間者（AiTM）」リレーを実行し、被害者のワンタイムコードが発行されてから数秒以内に、攻撃者自身のログインセッション内でそのコードを消費してしまいます。多要素認証（MFA）コードは、送信中に破られているのです。 調査範囲と方法 本レポートで提示する調査結果は、2026年1月以降に新規登録されたワールドカップ関連ドメインの継続的な監視、およびWhatsApp、Telegram、Discord上の不審なチャネルの追跡に基づいています。 ソーシャルメディア上で宣伝されている不審なWhatsApp、Telegram、Discordチャンネルへの追跡調査、回収されたマルウェアサンプルの静的および動的解析、ならびにFIFAのブランド名や共有されたアーティファクトを悪用して展開されているインフラストラクチャに基づいています。なお、攻撃チェーンについて記述している箇所は、回収されたサンプルや稼働中のインフラストラクチャから直接観察された動作を反映したものであり、理論的なモデル化によるものではありません。本レポートにおけるすべての発見事項は参考情報です。 ファネル：ソーシャルメディア上のクリーンな投稿からメッセンジャー内のマルウェアへ 私たちが観察したほぼすべての事例に共通する中核的なパターンは次の通りです。ソーシャルメディア上の投稿が外部プラットフォーム（通常はWhatsApp、Telegram、またはDiscord）へのリンクを含んでおり、実際の詐欺の手口はソーシャルメディア上ではなく、メッセンジャー内に存在します。 この間接的な手法は意図的なものであり、2つのレベルで機能します。ソーシャルメディアプラットフォーム上では、リンクはメッセンジャーの招待のみを指しているため、投稿自体は「クリーン」な状態を保ち、削除を回避しつつ、新たな被害者を引き込み続けます。メッセンジャー内部では、オペレーターはより広い裁量の余地を持ち、それを有利に活用します。 モバイル端末は一般的にフィッシングに対する防御が弱く、さらに（決定的な点として）ユーザーはデスクトップよりもスマートフォン上で目にするコンテンツを信頼する傾向があります。モバイルマルウェアの仕組みに関する一般の認識が低いため、ファンはモバイルリンクがマルウェアを運んだり、金銭的損失をもたらしたりする可能性について、立ち止まって考えることが少ないかもしれません。 図1：WhatsAppに表示されたFIFAワールドカップの試合広告。   その誘い文句自体は、ファンにとって魅力的すぎるほどに聞こえるいくつかのテーマに集中しています。具体的には、試合の無料ストリーミング、「勝者を予想する」賭け、格安チケットの購入、そして大会に関連した様々な仮想通貨の話題などです。リンク先のサイトの大部分は、AIによって生成されたものであるようです。 実際には、ファンにとって最も被害の少ないケースでも、デバイスへのアドウェアのインストールや、不正なオンライン決済による金銭的損失の可能性があります。そこから先は、事態はさらに悪化するばかりです。 「タイミング」という武器：土壇場の作戦 私たちが繰り返し確認した手口の一つは、サイバー犯罪者が、被害者が時間的プレッシャーにさらされ、（理論上）批判的に考える能力が低下するまで、悪意のあるペイロードの実行を遅らせるというものです。数週間前から悪意のあるリンクをばら撒くのではなく、私たちが観察したいくつかのチャンネルやグループは、キックオフの5分前に直接ストリーミングリンクを投稿すると約束し、単に「今すぐ登録してください」とユーザーに求めていました。（「試合開始5分前に、ストリーミングリンクを即座に入手」とある誘い文句もありました。） 試合開始直前になると、ファンは興奮の絶頂にあり、リンクが悪意のあるものかどうかを確認する余裕がない可能性があります。そのため、リンクをクリックし、ページに表示される「はい」の確認画面をすべて承諾してしまい、試合を観戦しようとする一方で、バックグラウンドではデバイスが静かに侵害されていることになります。また、ワールドカップ期間中、試合開始数分前、あるいは試合中に悪意のあるリンクが配信され、脅威の相当な割合が現実のものになると予想されます。 図2：この「5分前」という誘い文句は、興奮したファンがリンクを確認せずにクリックしてしまうことを狙ったものです。   ファンを標的に：ストリーミング、賭け、チケット、そして暗号資産 このサイバー犯罪エコシステムの消費者向け側面は広範囲に及びますが、あるモバイルのサンプルは、一部の攻撃者がいかに早期から、そしていかに真剣にこれに投資しているかを示しています。 大会の約6ヶ月前、ワールドカップのチケット購入を装って配布されたモバイルマルウェアが、aaworldcuptickets[.]comというサイトから「FIFA_WorldCup_Tickets.apk」として配信されていました。このAndroid向けパッケージは多段階ローダーとなっており、プライマリのclasses.dexが第1段階のDEXを復号し、そのDEXがさらに第2段階のDEXを復号します。 そのメインペイロードは、感染したデバイス上で仮想通貨のマイニングを行い、ドメイン fud2026[.]com 下のコマンド＆コントロール（C2）インフラ（ポート 9000 上のマイニングプールを含む）にビーコンを送信します。このドメインは以前、ブラジルやインドでの攻撃でも確認されており、既存のオペレーターがワールドカップ向けにインフラを転用していることを示唆しています。完全なハッシュ値と C2 情報は、当社の公開 GitHub にある...