概要
2026年FIFAワールドカップは、一代に一度の機会であり、脅威アクターたちはすでにこれを悪用しています。6月11日に開幕予定の2026年FIFAワールドカップは、開催国数、試合数、そして優勝チームへの賞金額において、すでに過去最高を記録しています。Arctic Wolfは、この大会を取り巻く犯罪エコシステムを積極的に調査しました。 当社の調査によると、開幕の数ヶ月前から悪意のあるインフラがすでに構築され、完全に稼働していたことが判明しました。また、そのインフラは圧倒的にモバイルファーストであり、その活動範囲はファンを騙すことを超え、大会を運営する人々や組織を直接標的にするまでに拡大しています。
主な調査結果:
- AIが攻撃の自動化を拡大しています。2026年1月以降、ワールドカップをテーマにしたドメインが1万件以上出現しており、そのペースは月間約2,000件に上ります。すべてが悪意のあるものというわけではありませんが、生成AIがサイトやコンテンツ、さらにはアプリまで生成するようになったことで、攻撃の自動化は新たな段階に達しています。
- 脅威はスマートフォンへと移行しています。2026年の主な攻撃対象はモバイルデバイスです。ソーシャルメディア上では一見「無害」に見える投稿が餌となり、被害者をWhatsApp、Telegram、またはDiscordへと誘導します。そこで、プラットフォームの監視の目を逃れ、ユーザーが目にする情報を信頼し、サイバー防御が脆弱な環境下で、実際の詐欺やマルウェアの配布が行われます。
- タイミングは武器となります。多くの悪意ある作戦は、最後の瞬間に発動するよう設計されています。チャンネルは、各試合開始の5分前に「無料ストリーミング」リンクを配信すると約束して購読者を集めます。このタイミングは、興奮したファンがリンクが悪意あるものかどうかを確認する余裕がないことを利用したものです。
- 標的となっているのはファンだけでなく、主催者側も同様です。私たちは、米国の開催都市のスタッフを狙った悪用された「従業員ハンドブック」PDFや、企業のGoogle Workspaceアカウントを盗むために仕組まれた偽の「FIFAキャリア」サイトの群れを特定しました。これは、イベント自体のサプライチェーンが標的となっていることを示しています。
- デスクトップ向け情報窃取型マルウェアは依然として活発です。私たちは、ワールドカップのチケットを餌にしたマルウェアを発見しました。これはWindows向けの情報窃取型マルウェアを配信し、被害者のマシン上のあらゆる重要なデータを、攻撃者が管理するTelegramやDiscordのチャンネルへと流出させます。
防御担当者にとって最も重要な技術的発見は、MFA(多要素認証)だけでは、ワールドカップに関連する組織を保護できないということです。私たちが発見したある偽の求人フィッシングキットは、リアルタイムの「敵対者中間者(AiTM)」リレーを実行し、被害者のワンタイムコードが発行されてから数秒以内に、攻撃者自身のログインセッション内でそのコードを消費してしまいます。多要素認証(MFA)コードは、送信中に破られているのです。
調査範囲と方法
本レポートで提示する調査結果は、2026年1月以降に新規登録されたワールドカップ関連ドメインの継続的な監視、およびWhatsApp、Telegram、Discord上の不審なチャネルの追跡に基づいています。
ソーシャルメディア上で宣伝されている不審なWhatsApp、Telegram、Discordチャンネルへの追跡調査、回収されたマルウェアサンプルの静的および動的解析、ならびにFIFAのブランド名や共有されたアーティファクトを悪用して展開されているインフラストラクチャに基づいています。なお、攻撃チェーンについて記述している箇所は、回収されたサンプルや稼働中のインフラストラクチャから直接観察された動作を反映したものであり、理論的なモデル化によるものではありません。本レポートにおけるすべての発見事項は参考情報です。
ファネル:ソーシャルメディア上のクリーンな投稿からメッセンジャー内のマルウェアへ
私たちが観察したほぼすべての事例に共通する中核的なパターンは次の通りです。ソーシャルメディア上の投稿が外部プラットフォーム(通常はWhatsApp、Telegram、またはDiscord)へのリンクを含んでおり、実際の詐欺の手口はソーシャルメディア上ではなく、メッセンジャー内に存在します。
この間接的な手法は意図的なものであり、2つのレベルで機能します。ソーシャルメディアプラットフォーム上では、リンクはメッセンジャーの招待のみを指しているため、投稿自体は「クリーン」な状態を保ち、削除を回避しつつ、新たな被害者を引き込み続けます。メッセンジャー内部では、オペレーターはより広い裁量の余地を持ち、それを有利に活用します。 モバイル端末は一般的にフィッシングに対する防御が弱く、さらに(決定的な点として)ユーザーはデスクトップよりもスマートフォン上で目にするコンテンツを信頼する傾向があります。モバイルマルウェアの仕組みに関する一般の認識が低いため、ファンはモバイルリンクがマルウェアを運んだり、金銭的損失をもたらしたりする可能性について、立ち止まって考えることが少ないかもしれません。
図1:WhatsAppに表示されたFIFAワールドカップの試合広告。
その誘い文句自体は、ファンにとって魅力的すぎるほどに聞こえるいくつかのテーマに集中しています。具体的には、試合の無料ストリーミング、「勝者を予想する」賭け、格安チケットの購入、そして大会に関連した様々な仮想通貨の話題などです。リンク先のサイトの大部分は、AIによって生成されたものであるようです。
実際には、ファンにとって最も被害の少ないケースでも、デバイスへのアドウェアのインストールや、不正なオンライン決済による金銭的損失の可能性があります。そこから先は、事態はさらに悪化するばかりです。
「タイミング」という武器:土壇場の作戦
私たちが繰り返し確認した手口の一つは、サイバー犯罪者が、被害者が時間的プレッシャーにさらされ、(理論上)批判的に考える能力が低下するまで、悪意のあるペイロードの実行を遅らせるというものです。数週間前から悪意のあるリンクをばら撒くのではなく、私たちが観察したいくつかのチャンネルやグループは、キックオフの5分前に直接ストリーミングリンクを投稿すると約束し、単に「今すぐ登録してください」とユーザーに求めていました。(「試合開始5分前に、ストリーミングリンクを即座に入手」とある誘い文句もありました。) 試合開始直前になると、ファンは興奮の絶頂にあり、リンクが悪意のあるものかどうかを確認する余裕がない可能性があります。そのため、リンクをクリックし、ページに表示される「はい」の確認画面をすべて承諾してしまい、試合を観戦しようとする一方で、バックグラウンドではデバイスが静かに侵害されていることになります。また、ワールドカップ期間中、試合開始数分前、あるいは試合中に悪意のあるリンクが配信され、脅威の相当な割合が現実のものになると予想されます。
図2:この「5分前」という誘い文句は、興奮したファンがリンクを確認せずにクリックしてしまうことを狙ったものです。
ファンを標的に:ストリーミング、賭け、チケット、そして暗号資産
このサイバー犯罪エコシステムの消費者向け側面は広範囲に及びますが、あるモバイルのサンプルは、一部の攻撃者がいかに早期から、そしていかに真剣にこれに投資しているかを示しています。
大会の約6ヶ月前、ワールドカップのチケット購入を装って配布されたモバイルマルウェアが、aaworldcuptickets[.]comというサイトから「FIFA_WorldCup_Tickets.apk」として配信されていました。このAndroid向けパッケージは多段階ローダーとなっており、プライマリのclasses.dexが第1段階のDEXを復号し、そのDEXがさらに第2段階のDEXを復号します。 そのメインペイロードは、感染したデバイス上で仮想通貨のマイニングを行い、ドメイン fud2026[.]com 下のコマンド&コントロール(C2)インフラ(ポート 9000 上のマイニングプールを含む)にビーコンを送信します。このドメインは以前、ブラジルやインドでの攻撃でも確認されており、既存のオペレーターがワールドカップ向けにインフラを転用していることを示唆しています。完全なハッシュ値と C2 情報は、当社の公開 GitHub にある IOC テーブルに記載されています。
主催者を標的に:悪用された「従業員ハンドブック」を用いたQRコードフィッシング
より斬新であり、おそらくはより深刻な発見は、攻撃者が大会の主催者や、イベント自体の広範なサプライチェーンを標的にしているという点です。
フィラデルフィアは、米国、カナダ、メキシコ全土の計16都市のうち、米国側の11の開催都市の一つであり、リンカーン・フィナンシャル・フィールドで6試合を開催する予定です。 私たちは、同市で大会業務に携わる人々を直接標的とした、特注のPDFファイルを回収しました。それは「従業員ハンドブック – FIFAワールドカップ2026フィラデルフィアにおける雇用について」と題された3ページの文書です。この文書はリバティ・ベルをモチーフにしており、信頼性の高い人事部門のレイアウトで作成されています。また、そのメタデータには、同市の正規の観光機関(discoverphl.com)と、内部の宛先となる人物の名前が記載されています。
図3:フィラデルフィアで大会業務に携わる人々を標的とした「従業員ハンドブック」。
ペイロードは、クィッシング(quishing)として知られるQRコードフィッシングの手法によって配信されます。この文書は、「ハンドブックのデジタル版にアクセスする」ためにQRコードをスキャンするよう被害者に求める文で締めくくられており、カメラを起動して(悪意のある)リンクをタップするための親切な手順ガイドまで完備されています。デスクトップよりも一般的にセキュリティ対策が不十分なモバイル端末では、そのQRコードが被害者を悪意のあるリソースへとリダイレクトします。
図4:フィラデルフィアの偽「従業員ハンドブック」文書の裏面に記載された悪意のあるQRコード
この悪意のあるPDF文書に関しては、いくつかの点が注目に値します:
- 「転送禁止」というソーシャルエンジニアリングの文言。この文書は、受信者に対し、他者と共有しないよう明示的に求めており、これは「安全なリンク」を保護するためという名目で提示されています。これはセキュリティ上の適切な慣行ではなく、潜在的にフラグが立てられる可能性のあるチャネルから文書やリンクを遠ざけることで、その検出を遅らせるための手法です。
- PDFメタデータ:作成日時(CreationDate)、最終更新日時(ModDate)、およびユーザーエージェント情報を示すPDFメタデータです。これはソーシャルエンジニアリングの餌であるため、攻撃者はまず組織からオープンソースまたは自由に利用可能な文書を入手し、それを自身の目的に合わせて改変した可能性が高いと考えられます。
- 不自然な内容や不整合なポリシー記述が見られます。これらは、急いでテンプレートを流用した際によく見られる特徴です:
- 「国際REXI休日」と称するものは、実質的に米国の正当な雇用制度には存在しません。
- 台風がめったに発生しないフィラデルフィア向けの「台風・豪雨に関する規定」。これは、テンプレートが東南アジアの企業から流用され、不十分なローカライズが施されたことを強く示唆しています。
- 「グローバル政府退職給付」の項目の表現が曖昧です。実際の米国の雇用主であれば、401(k)、社会保障、または特定のプラン名を明記するでしょう。
- 明らかな誤字(「Ehanges」、「ACKNOWLEGEMENT」)や、セクション番号の不整合(3が2回出現、6.5が欠落)が複数見られます。大手組織からの公式人事文書としては、これは異例のことです。
配信パターンが汎用的なもの(PDF → QRコード → セキュリティ対策が不十分なモバイル端末で悪意のあるリソースが開かれる)であるため、他の開催都市も同様の手口で標的にされている可能性が高いです。
核心となる要素:MFAを無効化するリアルタイムのAiTMフィッシング
FIFAのロゴとブランディングを分析した結果、「FIFAでの採用」を装うために特別に構築された一連の偽装ドメイン群が判明しました。2026年5月28日現在、fifa-careerpath[.]com、fifahiring[.]com、jobs-fifa[.]comなど、10のドメインを特定しました(完全なリストは当社の公開GitHubでご覧いただけます)。
図5:「FIFAの採用担当者」との偽の会議への実際のGoogleカレンダー招待状。この採用担当者の身元は、偽造されたものであるか、LinkedInから盗まれたものである可能性があります。
彼らの目的は、企業のGoogle Workspaceアカウントの盗用であり、このキットは一般的な静的な認証情報収集ページよりもはるかに高度なものです。すべての通信は、https://fifeq2026eqbackeq[.]onrender[.]comでホストされている単一のバックエンドと行われます。ここで、本来「fifa2026back」と読める部分を隠蔽するために、eqという文字列が埋め込み文字として挿入されています。
この一連のプロセスは、5つの明確なフェーズで展開されます:
- 攻撃前:オペレーター側。オペレーターは、Reactフロントエンド(ReactはMetaが開発したオープンソースのJavaScriptライブラリです)とバックエンドをcom(正規のクラウドホスティングサービス)にデプロイし、採用担当者のペルソナ(通常は架空のもの、あるいはLinkedIn上の正規の採用担当者の身元を悪用したもの)を名乗る「面接枠を予約する」というおとりメールを送信します。送信は、人間によるメール送信という別のステップで行われます。
- フェーズ1:セットアップ。ページの読み込み時、ページは /api/new-user 経由で session_id を生成し(localStorage に user_created として保存)、is をバックグラウンドで呼び出して被害者のIP、都市、国を取得します。攻撃者が何らかの操作を行う前に、被害者は追跡されます。
- フェーズ2:おとり。偽の予約フォームがターゲットの氏名、メールアドレス、役職、希望日時を収集し、/api/booking に送信します。このステップでは、ターゲットの実際の身元情報を収集しつつ、信頼関係を築きます。
- フェーズ3:情報収集。偽のGoogleログインページがターゲットのメールアドレスとパスワードを盗み出し、それらを位置情報と共に/api/loginへ送信します。位置情報を同梱するのは意図的なもので、これにより攻撃者自身のログインが被害者の地域から行われたように見せかけることができます。
- フェーズ4:中継ループ。これがこのキットの危険な点です。バックエンドは盗んだパスワードを使用して、本物のGoogleアカウントにリアルタイムでログインします。Googleは2段階認証を要求します。バックエンドはcheck_response(authType)を介してその種類を報告し、フィッシングページは完全に一致する
MFA画面を表示します。被害者が認証を完了すると、生成されたコードが /api/twofa(または
/api/sms、/api/email)に転送され、同時にGoogleへ送信されます。これで4つの当事者がリアルタイムで同期されます。
- フェーズ5:乗っ取りと後始末。Googleは攻撃者に完全な認証済みセッションを付与します。バックエンドはリダイレクトを返し、被害者を本物のGoogleページへ誘導するため、ターゲットに不審感を抱かせることなく体験は終了します。侵害後、攻撃者はアクティブなセッションを維持し、被害者が気付く前に永続化(アプリパスワード、復旧設定の変更、OAuthの承認)を確立することができます。
図6:企業向けGoogle Workspacesの乗っ取り:攻撃チェーン。
ここでMFAが役に立たない理由:2つ目の認証要素は、発行されてから数秒以内に、攻撃者のセッション内で消費されてしまいます。ワンタイムコードやSMS/メールによる承認では、この仕組みに対する防御にはなりません。フィッシング攻撃に耐性のある認証(ターゲットの正当なオリジンと暗号的に紐付けられたパスキーやFIDO2/WebAuthnハードウェアキーなど)のみが、このリレーを阻止できます。
デスクトップ版:情報窃取型マルウェアを配布するチケットの誘引
図7:2026年ワールドカップのチケット価格を宣伝するおとり画像。
従来のWindowsデスクトップマシンからチケットを購入するユーザーも安全ではありません。「2026年ワールドカップのチケット価格」を宣伝するおとり画像(上記参照)を含む悪意のあるアーカイブを分析しました。 その攻撃チェーンは単純ですが効果的です。「WorldCup_Tickets_Viewer?gnp.exe」を装って配信されたファイルは、偽装されたJPEG画像と共に、難読化されたバッチスクリプト(datafacebook_obf.bat)を解凍します。このバッチファイルが実行されると、包括的な情報窃取ツールとして機能するUPX圧縮された実行ファイルがドロップされます。
図8:図7に示したおとり広告用の悪意のあるアーカイブの内容。
マシンが感染すると、ブラウザの機密情報(Cookie、保存されたパスワード、自動入力および支払いプロファイルデータ、閲覧履歴および検索履歴)、メッセージングおよびセッション関連データ(Discordトークン、Telegramのtdata)、クリップボードの内容およびデスクトップのスクリーンショット、保存されたWi-Fiプロファイルとパスワード、さらにSteamのセッションデータ、FileZillaの認証情報、PuTTYの鍵とセッション、WinSCP / KeePass / 1Password関連データなど、多岐にわたるアプリケーションの認証情報を収集します。盗み出されたデータはすべて、攻撃者が管理するTelegramおよびDiscordのチャンネルへ流出されます。この攻撃で得られたハッシュ値は、当社の公開GitHubで確認できます。
規模とAIによる増幅効果
2026年1月以降、ワールドカップという広範なテーマの下で登録された新規ドメインを1万件以上、月平均約2000件カタログ化しました。その大半は悪意のあるものではないと思われますが、新規ドメインの膨大な量に加え、生成AI(サイトの立ち上げ、コンテンツ作成、さらにはアプリケーションの生成にも使用されています)の普及により、信憑性があり、かつ独自の誘引手段を立ち上げるコストは劇的に低下しました。
この種の攻撃の自動化は新たな段階に達しており、その量だけでも、防御側による手動での選別は現実的ではありません。
2026年ワールドカップが近づくにつれて予想されること
私たちが調査した脅威のいくつかは、大会開催中にピークを迎えるよう仕組まれています。試合開始直前や試合中に、土壇場での「無料ストリーミング」リンクが大量に拡散されること、開催都市の運営が本格化するにつれて、現地スタッフやベンダーに対するクィッシング攻撃が継続すること、そして、Google Workspaceの利用状況が大会と関連付けられる組織を標的としたAiTMフィッシング攻撃が持続することが予想されます。デスクトップ向け情報窃取型マルウェアの脅威
は、チケットの需要を追跡するでしょう。要するに、現在確認されている活動はリハーサルに過ぎず、攻撃者にとっての本番は、他のすべての人々にとっての本番と重なるのです。
Arctic Wolfが顧客を保護する方法
Arctic Wolfはサイバーリスクの根絶に取り組んでおり、活発なキャンペーンが特定された際には、迅速に顧客を保護します。当社は、この脅威活動に関する脅威インテリジェンスを活用し、顧客環境や利用可能なテレメトリに応じて、Aurora® Superintelligence Platformでの検知機能を強化しています。
このキャンペーンを追跡し、新たな情報を発見するにつれ、この悪意ある活動の背後にいる脅威グループが利用する追加の侵害の兆候(IOC)や手法を考慮し、検知機能をさらに洗練させていく可能性があります。
推奨事項
ファンおよび一般の皆様へ
- ソーシャルプラットフォームから WhatsApp、Telegram、または Discord へと誘導する「無料ストリーミング」、「チケット保証」、「賭けのボーナス」、あるいは「ワールドカップ関連の暗号資産」といったオファーは、原則として悪意のあるものとみなしてください。
- チケットの購入は、FIFAの公式チャネルおよび認証済みのチケット販売パートナーを通じてのみ行い、チャット、広告、DM内のリンクからは絶対に購入しないでください。
- キックオフ直前に届くリンクには特に疑いの目を向けてください。その緊急性こそが攻撃のきっかけであり、偶然ではありません。「ただ見るだけ」という理由で、同意や「許可」を求めるプロンプトをタップしないでください。
- 公式アプリストア以外からAndroidパッケージキット(APK)をインストールしないでください。また、スマートフォンで試合を観戦するためにダウンロードした「ビューアー」や「ストリーミングプレーヤー」などの実行ファイルは絶対に実行しないでください。
- QRコードは、すでに信頼している情報源からのもののみをスキャンしてください。スマートフォンにおいて、QRコードは目に見えないリンクに過ぎません。QRコードが改ざんされていると疑う理由がある場合は、特に警戒してください。
主催者、開催都市、スポンサー、およびそのベンダーの皆様へ
- 人事部、FIFA、または開催都市の組織を装ったPDFやメールに含まれるQRコード(クイッシング)などの手口を含め、スタッフが直接標的とされていると想定してください。
- 「社員ハンドブック」を装った手口や、「このセキュアなリンクを転送しないでください」というプレッシャーをかける手口については、手口のバリエーションが異なる可能性があるため、人事、広報、および現場スタッフに対して具体的に説明してください。
- 今すぐフィッシング対策が施された多要素認証(MFA)に移行してください。すべてのGoogle Workspace(およびSSO)アカウントに対し、パスキーまたはFIDO2/WebAuthnハードウェアキーの使用を義務付けてください。OTP、SMS、プッシュ通知による承認方式のMFAでは、本レポートで記載されているリアルタイムのAiTMリレーを阻止することはできません。
- セキュリティ研修プログラムを一から構築する時間やリソースがない場合、Arctic Wolfでは、Arctic Wolf Managed Security Awareness® トレーニングプログラム内にフィッシングに特化したモジュールを提供しており、本レポートで概説された種類の脅威をユーザーが認識し、適切に対応できるよう支援します。
- IOC テーブルに記載された指標をブロックおよびアラート対象とし、お住まいの都市名、会場名、組織名に「FIFA」、「ワールドカップ」、「2026」、「チケット」、「求人」、「採用」、「キャリア」などのキーワードを組み合わせた新規登録ドメインを、積極的に探索してください。
- 経営幹部および管理者のアカウントにおいて、OAuth グラント、新しいアプリパスワード、回復方法の変更、および異常なセッションの地理的位置情報を監視してください。これらは、AiTM オペレーターが侵害後に実行する持続化の手順です。
- 標準外プロセスからのTelegram/Discord APIへのアウトバウンド接続について、アラートを発信するか、またはブロックしてください。
- ドメインクラスター全体でブランド保護のための削除対応を調整し、他の開催都市とインジケーターを共有してください。本レポートで分析された一般的な配信パターンは、他の地域でも同様のキャンペーンが並行して行われていることを強く示唆しています。
結論
攻撃者は、開幕戦が始まるのを待たずに攻撃を開始しています。2026年FIFAワールドカップの数ヶ月前から、成熟した犯罪エコシステムはすでに、防御のあらゆる層を横断してこのイベントを密かに金銭化しており、その活動はファンを騙すことから、大会を運営する組織そのものを侵害することへと拡大しています。
その戦略は単純です。ソーシャルメディア上の餌はクリーンな状態を保ち、被害者をメッセンジャーへと誘導します。そこで、モバイルファーストの配信手法が、防御の脆弱性とユーザーの信頼の高さを悪用します。一部の攻撃は、監視が最も緩む瞬間、通常はキックオフの5分前、ファンの興奮が最高潮に達するタイミングで発動するように設定されています。 標的には現在、説得力のある人事関連文書を用いた「クィッシング」を通じて接触される開催都市のスタッフや、従来の多要素認証(MFA)をリアルタイムで無効化するフィッシングキットを通じて接触されるGoogle Workspaceを利用するあらゆる組織が含まれています。一方、従来のWindows向け情報窃取型マルウェアは、ファンの認証情報やセッションデータをTelegramやDiscordへと流し続けています。生成AIがこれらすべてを支えており、数千もの個別の信頼性の高いドメイン、サイト、アプリの作成コストを劇的に削減しています。
防御側にとって、ここでの優先事項は明確です。直ちにフィッシング耐性のある認証を導入し、QRコードや「転送禁止」という圧力を本質的に敵対的なものと見なし、ここで説明したドメインクラスターを追跡し、開催都市間でインジケーターを共有することです。私たちが観察した一般的な配信パターンは、ほぼ間違いなく、まだ確認されていない並行するキャンペーンを示唆していると私たちは考えています。本レポートで記録された活動は、本番に向けたリハーサルに過ぎません。攻撃者にとっての本番は、世界中の他の人々にとっての本番と重なることになるでしょう。
法的免責事項:帰属に関する記述は、本レポート作成時点におけるArctic Wolf Labsの評価を反映したものであり、新たな証拠に基づき変更される可能性があります。脅威アクターの身元、関連性、および意図に関する言及は、分析上の判断であり、法的事実の表明ではありません。本アラートは情報提供のみを目的としており、検知や防止を保証するものではありません。防御の効果は、環境、設定、および利用可能なテレメトリによって異なります。
付録
本レポートで言及されている、侵害の兆候(IoC)、ファイルハッシュ、フィッシングドメイン、行動/情報流出の兆候など、その他の付録セクションについては、当社の公開GitHubリポジトリをご覧ください。
その他のArctic Wolfリソース:
- Arctic Wolfの無料脅威インテリジェンスニュースレター:ThreatPulse Community Edition
- Arctic Wolf Tech Den
- Arctic Wolfブログ
Arctic Wolf Labsについて
Arctic Wolf Labsは、精鋭のセキュリティ研究者、データサイエンティスト、セキュリティ開発エンジニアからなるグループです。当グループは、セキュリティに関するトピックを調査し、新規および新興の脅威に関する最先端の脅威研究を提供するとともに、人工知能(AI)や機械学習を活用した高度な脅威検知モデルの開発・改良を行い、Arctic Wolfが提供するソリューションの速度、規模、検知効率の継続的な改善を推進しています。Arctic Wolf Labsは、Arctic Wolfの顧客基盤だけでなく、セキュリティコミュニティ全体に世界クラスのセキュリティイノベーションをもたらします。
(注:このセクションは、Arctic Wolfの公開GitHubに掲載されます。)侵害の兆候(IOC)
注:本レポートには、防御目的で使用される機密性の高い技術的指標が含まれています。これらの指標や手法を攻撃目的で使用しないでください。
| Indicator
|
Type
|
Context
|
| aaworldcuptickets[.]com | Domain
|
Distribution site for the FIFA tickets crypto-
miner APK
|
| Accessor[.]fud2026[.]com | Domain (C2) | Crypto-miner command-and-control
|
| fud2026[.]com | Domain (C2) | Crypto-miner C2; previously seen in
Brazil/India
|
| pool[.]fud2026[.]com:9000 | Host:port (C2) | Mining pool
|
| pool-proxy[.]fud2026[.]com:9000 | Host:port (C2) | Mining pool proxy
|
| Fifeq2026eqbackeq[.]onrender[.]com | Domain
(backend)
|
AiTM fake-careers phishing backend
(“fifa2026back” obfuscated)
|
| ipwho.is | Domain
(abused, benign)
|
This is a legitimate domain (a geolocation
service) but it can be abused for victim IP/geo profiling. If you don’t use it in your corporate network, use it as an alert for any process talking to that service.
|
偽の「FIFA Careers」フィッシングドメイン(AiTMによる認証情報窃取、2026年5月28日時点)
| Domains |
| fifa-careerpath[.]com |
| fifa-hiringhub[.]com |
| Domains
|
| fifahiring[.]com |
| fifajobs[.]com |
| jobs-fifa[.]com |
| fifa-careerhub[.]com |
| fifa-careerportal[.]com |
| fifa-hr[.]com |
| fifa-talenthub[.]com |
| fifa-hiring[.]com |
ファイルのハッシュ値 (SHA-256)
Android向け暗号通貨マイナー(「FIFAチケット」を装ったもの)
| Artifact
|
SHA-256 |
| FIFA_WorldCup_ Tickets.apk | f753a9aa8ae2f7bb058feb524b6bbac9b25450216359181cd11410d8519dd600 |
| Primary
classes.dex
|
54a7d368b2f7817a0d8ee1f210e305207ef824f15c5d4e652adcdc4deb457928 |
| Decrypted first-
stage DEX (stage1.dex)
|
58e39152786a0f48dd005e4189769be9e0c2e2d0067c8128252d91ae85559117 |
| Decrypted second-
stage DEX (stage2/classe s.dex)
|
27ab53a4649d6fbb7395bf7caa1790d49615efbb7286ad298a37868f139b21c8 |
悪用されたフィラデルフィアの「従業員ハンドブック」PDF(QRコードフィッシング)
| Artifact | SHA-256 |
| FIFAWorldCup26PhiladelphiaQ2Handbook.pdf | 684fc3474df1bf51e964abe2442e35a5c0bc437d2b83c 9aef8ce2d33903a2793 |
Windows 情報窃取チェーン(「World Cup Ticket Viewer」というおとり)
| Artifact | SHA-256 |
| WorldCup_Tickets_Viewer?gnp.exe
(delivered file)
|
234e4a0709a9359da8a0de1b274bf557874d3787602d4
292d54563d5a439f53b |
| datafacebook_obf.bat (dropper script)
|
98c884d4c9931cdfc85df26a57283c4b4801f7810f4b7ee2398002e473643801 |
| photo_6266937823168499674_m.jpg
(decoy)
|
0ec56970734aae3e5401bb9856455db753b574f5fcb0e 4487f8ab92e15678024 |
PDFメタデータ指標(フィラデルフィア・ハンドブック)
| Field
|
値 |
| /Title
|
64cbf60f4d3853579576d909efb4eeec.html |
| /Creator
|
Mozilla/5.0 (Windows NT 10.0; Win64; x64) … HeadlessChrome/139.0.0.0 Safari/537.36 |
| /Producer
|
Skia/PDF m139 |
| /CreationDate
|
D:20250916174018+00’00’ |
| /ModDate
|
D:20250916174018+00’00’ |
| Targeted organization
|
discoverphl.com |
| Intended recipient
|
a***@discoverphl.com (partially redacted)
|
行動/情報流出の兆候
| 指標 | 状況 |
| Crypto-mining C2 on *.fud2026[.]com:9000
|
Android miner payload
|
| localStorage key user_created; endpoints /api/new-user,
/api/booking, /api/login, /api/twofa, /api/sms, /api/email
|
AiTM phishing kit
|
| Exfiltration of stolen data to Telegram and Discord
|
Windows infostealer
|
| Indicator
|
Context
|
| .bat-spawned, UPX-packed executable
|
Windows infostealer dropper
behavior
|
