結論から言います。FIFAワールドカップ2026を悪用する攻撃インフラは、開幕の前年からすでに大規模に動き出していました。情シスにとって他人事ではありません。便乗フィッシングは社員のプライベート端末や業務メールにも流れ込み、また「大規模イベントの守り方」は一般企業のインシデント対応・委託先管理にそのまま応用できる教材だからです。今すぐ何かを買う必要はありませんが、社内への注意喚起と平時の備えの点検を始めるべきタイミングです。
この記事でわかること
- ワールドカップ・五輪がサイバー攻撃に狙われる理由
- 2026年大会ですでに観測されている攻撃インフラの規模(具体的な数字)
- 東京・パリ五輪で進化した「守り方」(官民連携・脅威情報共有・演習)
- こうした大規模イベント対策が、一般企業の情シスに与える実務的な示唆
なぜ大規模国際イベントは狙われるのか
大規模国際イベントとは、世界中の関心と金銭の流れが短期間に一点へ集中する場です。攻撃者にとっては、これ以上ないほど「カモが集まる」機会になります。
理由は大きく3つです。第一に、チケット・宿泊・旅行・グッズなど取引が爆発的に増え、利用者が偽サイトと本物を見分けにくくなること。第二に、大会公式システムや配信、決済、交通といった重要インフラが「止めれば世界中が困る」高価値の標的になること。第三に、ハクティビズム(政治的主張を目的とした攻撃)や国家が関与する攻撃にとって、注目度の高い舞台は格好の宣伝の場になることです。
2026年大会で、すでに何が起きているのか
北中米(米国・カナダ・メキシコ)で開催されるFIFAワールドカップ2026に向け、攻撃の「下準備」は公表ベースで前年から確認されています。
- 偽ドメインの大量登録:チェック・ポイント・リサーチは2025年8月1日以降の約60日間で4,300件超のFIFA関連の不正ドメインが登録され、8月中旬と9月上旬に登録のピークがあったと報告しています。さらに脅威インテリジェンス企業のIntel 471は、2026年1月以降に約19,000件のFIFA関連ドメインが作られたとし、今大会を「スポーツ史上最大かつ最も複雑な攻撃対象領域」と表現しました。
- 偽チケット・偽ストア・旅行詐欺:公式販売のタイミングに合わせた偽チケット確認メールや偽の順番待ちポータル、相場より40〜80%安い宿泊・航空券をうたう旅行詐欺、数千〜数万ドルを請求する偽のビザ・入国手続き代行などが観測されています。
- フィッシングと正規組織の侵害:FBIは170件以上の偽の大会関連サイトを確認し、大会スタッフや放送関係者に大量のフィッシングメールが送られていると注意喚起しています。実際にモロッコサッカー連盟やアジアサッカー連盟が侵害され、パスポート情報などが流出したと報じられています。
- マルウェア配布:偽の試合配信(IPTV)アプリを通じてAndroid向けの遠隔操作型マルウェアが配られる手口も報告されています。
情シスにとって何が脅威なのか?
答えは「社員が私生活で踏む罠が、会社のリスクに直結する」点です。観戦したい社員が偽サイトでカード情報や認証情報を抜かれ、同じパスワードを業務でも使い回していれば、そこが侵入口になります。会社のドメインや取引先になりすました便乗フィッシングが業務メールに届く可能性もあります。
過去の大会で「守り方」はどう進化したか
一方で、開催国側の防御も着実に進化してきました。ここに情シスが学ぶべき型があります。
2021年の東京大会では、大会期間中に4億5,000万件を超えるサイバー攻撃を受けながら、大会システムへの致命的な侵入を防ぎ切ったとされます。その背景にあったのが官民連携です。内閣サイバーセキュリティセンター(NISC)が2019年に立ち上げた調整組織を中核に、行政機関・重要インフラ事業者・スポンサー企業・競技団体など350を超える組織、約4,000人が脅威情報を共有しました。攻撃が急増しても、誰かが捕捉した手口を全体で素早く共有できたことが「防ぎ切った」要因です。
2024年のパリ大会では、技術責任者が「東京の8〜10倍」の攻撃を予想しましたが、大会側は開幕以降に多数の攻撃を阻止したと公表しました。脅威インテリジェンスの共有、CSIRT(インシデント対応チーム)による監視、そして本番を想定した机上演習の積み重ねが、規模の拡大に対応する鍵になっています。
大規模イベント対策は、一般企業の情シスに何を示すか
「うちは五輪を運営しないから関係ない」とは言えません。大会の守りで効いた要素は、規模を縮めればそのまま自社の備えに当てはまります。
- 平時の情報共有を仕組みにする:本番直前に体制を作っても間に合いません。東京大会が示したのは「平時からの継続的な脅威情報共有」の威力です。自社でもJPCERT/CCやIPAの注意喚起を受け取り、社内へ素早く展開する経路を決めておくことが土台になります。
- インシデント演習をやっておく:パリ大会が積み重ねたのは演習です。手順書を作るだけでなく、実際に「侵害された前提」で関係者が動いてみることで、初めて連絡経路の穴や判断の遅れが見えます。大規模イベントの最中ではなく、平時にこそ試すべきです。
- 委託先・サプライチェーンを見る:大会では多数のスポンサー・委託先が攻撃の入り口になり得ました。自社でも、守りの弱い委託先が侵入口になる構図は同じです。委託先の管理状況を把握しておくことが、自社単独の対策と同じくらい重要になります。
- イベント便乗の注意喚起を出す:大会期間中は便乗詐欺が増えます。「公式以外でチケットを買わない」「パスワードを使い回さない」といった地道な啓発を、タイミングを見て社内に流すだけでも効果があります。
現場目線の所感
正直なところ、4億件・19,000ドメインといった数字を見ると、限られた人員の情シスが「全部捕まえる」のは不可能だと感じます。だからこそ大会の知見が刺さります。彼らも全部を一組織で見切ってはおらず、「捕まえた人が共有し、皆で守る」という発想に切り替えていました。自社内でも、検知したフィッシングを情シスだけで抱え込まず、社内へ即共有して全員の目を増やす——この地道な運用こそが現実的な打ち手だと感じます。攻撃者が一年がかりで準備している以上、守る側も「イベント前の平時」をどう使うかが勝負になります。
情シスはどうすべきか
特別な製品を買う前に、まずは公的機関の指針で自社の足場を点検することをおすすめします。インシデント対応の演習は、IPAのセキュリティインシデント対応 机上演習教材がそのまま使えます。日常の備えと社員啓発は中小企業の情報セキュリティ対策ガイドラインと対策のしおりが参考になります。最新の手口はJPCERT/CCやIPAの注意喚起で随時確認してください。
まとめ
- FIFAワールドカップ2026を狙う攻撃インフラ(偽ドメイン・偽チケット・フィッシング)は開幕の前年から大規模に動いており、社員の私生活経由で自社リスクにもなる。
- 東京・パリ五輪で効いたのは官民連携による脅威情報共有・CSIRT・演習で、規模を縮めれば一般企業の備えにそのまま応用できる。
- 製品導入の前に、平時の情報共有経路・インシデント演習・委託先管理・社員への注意喚起を点検することが現実的な打ち手になる。
出典
- Help Net Security「Cybercriminals create 19,000 FIFA-themed domains ahead of 2026 World Cup」(2026年6月8日、Intel 471の報告を引用)記事
- チェック・ポイント・リサーチ「FIFA ワールドカップ 2026の悪用を狙うサイバー犯罪の初期インフラを発見」(2025年10月7日)プレスリリース
- 日経クロステック「東京五輪を狙った4.5億回のサイバー攻撃、防ぎきった官民の連携力とは」記事
- セキュリティ対策Lab「2024年 パリ オリンピックで大会開始以来 68件のサイバー攻撃を阻止」記事
- IPA「セキュリティインシデント対応 机上演習教材」公式
コメント