日本代表とオランダの引き分けで朝のニュースが埋め尽くされる一方、アメリカの連邦捜査局(FBI)と内部組織であるインターネット犯罪苦情センター(IC3=Internet Crime Complaint Center)は、2026年5月27日付で「FIFA公式サイトになりすました偽サイトに警戒せよ」とする緊急の注意喚起(PSA=Public Service Announcement、パブリック・サービス・アナウンスメント)を発表しました。本記事では、その公式文書の内容を一次ソースに基づいて整理し、日本のサッカーファンが取るべき具体的な対策をまとめます。
⚠ 3行まとめ
・FBIが「偽FIFAサイト」への警戒を公式に呼びかけ(2026年5月27日)
・手口はタイポスクワッティング(typo squatting=打ち間違い悪用)と個人情報(PII)の窃取
・対策は「fifa.com を自分で入力」「検索結果の広告枠を避ける」
FBI・IC3が発表した警告の概要
FBIは公式の警告番号「I-052726-PSA」として、サイバー犯罪者(スレットアクター=threat actors)が2026 FIFAワールドカップを前にFIFA公式サイトへのなりすまし攻撃(スプーフィング=spoofing)を行っていると発表しました。なりすましサイトは、ブランドロゴや商品一覧などを本物そっくりに作り込み、利用者をだまして個人情報を抜き取ったり、金銭をだまし取ったりするために使われます。
FBIによれば、犯罪者の狙いは主に次の3つです。氏名・住所・電話番号・メールアドレス・銀行口座情報などの個人を特定できる情報(PII=Personally Identifiable Information)の収集、偽のワールドカップ・チケットやホスピタリティ商品の販売、そしてそれらを足がかりとした追加の不正行為です。FBIは「攻撃者が被害者のPIIを入手すれば、被害者名義で新たなアカウントを作り、最終的に詐欺被害につなげられる」と注意を促しています。
本大会は2026年6月11日から7月19日まで、アメリカ・カナダ・メキシコの3カ国共催で開催されます。セキュリティ企業ビットディフェンダー(Bitdefender)も、FBIの警告に前後してサッカー関連の詐欺キャンペーンを55件以上検出したと報告しており、脅威は単発ではなく面的に広がっている点に注意が必要です。
手口①:タイポスクワッティング(打ち間違いの悪用)
最も典型的な手口がタイポスクワッティング(typo squatting)です。これは、利用者がURLを打ち込む際の「打ち間違い」を悪用する攻撃手法を指します。本物のドメインをわずかに変えた偽ドメインを用意し、ユーザーのミスを待ち受けます。FBIが具体例として挙げたのが、「fiffa[.]com」のような微妙なスペルミス、あるいは「.com」を「.org」に差し替えるなど、トップレベルドメイン(TLD=Top-Level Domain)の置き換えです。
さらに、「jobs-fifa[.]com」のように、いかにも公式のサブドメインらしく見せかけた求人系の偽サイトも確認されています。なお、本記事で偽ドメインを「[.]」表記にしているのは、誤クリックを防ぐためのディフェンス表記(defanging=デファンギング)です。実際のアドレスバーでは通常のドット「.」で表示されます。
FBIが確認した偽ドメインの「型」
FBIは公式文書の中で、すでに確認済みの偽ドメインを多数列挙しています(時点で36件以上)。ただし「今後も新しい偽サイトが次々と出現する」と明言しているため、リストの暗記ではなく「パターンの理解」が重要です。代表的な型を整理しました。
| 偽サイトの型 | FBI公表の具体例([.]はディフェンス表記) |
| スペルミス型 | filfa[.]org、wvvw-fifa[.]com、ww-fifa[.]com、fifa-com[.]com |
| 別TLD型 | fifa[.]cab、fifa[.]pink、fifa[.]blue、fifa[.]click、fifa[.]ceo |
| 偽チケット販売型 | fifa-ticket[.]live、worldcup26ticket[.]com、fifaworldcup26[.]sale |
| 偽求人型 | jobs-fifa[.]com、fifa-hiring[.]com、fifa-careerhub[.]com |
| 年号・略称型 | fifa-2026[.]xyz、fwc2026[.]net、2026fifaworldcuptickets[.]online |
※上記はFBI公表リストからの抜粋です。共通点は「fifa」という文字列を含みつつ、公式の www.fifa.com とは異なる点にあります。逆に言えば、末尾が「.com」で「www.fifa.com」と完全一致しているかを確認することが、最もシンプルで確実な見分け方です。
手口②:偽チケット・偽求人・偽広告
高騰するチケットを少しでも安く手に入れたいファン心理を、攻撃者は的確に突いてきます。偽サイトの多くは、ワールドカップの偽チケット、公式グッズ、旅行・宿泊パッケージ(ホスピタリティ商品)を餌に、決済情報や個人情報を吸い上げます。検索エンジンの「スポンサー」表示(広告枠)に紛れ込む偽サイトも報告されており、検索上位だからといって安全とは限りません。
FBIが推奨する自衛策
FBIは公式文書の中で、利用者が取るべき具体的な対策を列挙しています。日本のファンにもそのまま当てはまる内容です。
| 対策 | 具体的な行動 |
| URLを直接入力 | 検索せず、アドレスバーに自分で「fifa.com」と打ち込む |
| 広告枠を避ける | 検索結果の「スポンサー」「広告」表示はクリックしない |
| URLを目視確認 | 末尾が「.com」で「www.fifa.com」と一致しているか確認 |
| ブックマーク活用 | ログイン系サイトはお気に入り(ブックマーク)から開く |
| サブドメイン注意 | plus.fifa.com 等は公式トップページ経由で開く |
| 低品質に警戒 | 粗いロゴ・不自然な画像が並ぶサイトでは情報を入力しない |
被害に遭ったら:通報窓口
FBIは、被害に遭った場合はIC3の公式サイト(www.ic3.gov)への通報を呼びかけています。報告時には、偽サイトのドメイン名、やり取りの内容(入力した情報など)、決済の日時・種類・金額・口座情報などを添えるよう求めています。日本国内の場合は、警察庁のサイバー犯罪相談窓口や各都道府県警のサイバー犯罪相談窓口、消費生活センター(消費者ホットライン「188」)への相談も選択肢になります。
編集後記(※ここからは編集部の見解です)
日本では代表戦の結果が大きく報じられる一方、こうしたサイバー詐欺の警告は扱いが小さくなりがちです。しかしワールドカップのような世界的イベントは、過去のオリンピックやコロナ禍と同様、攻撃者にとって「絶好の狩り場」です。盛り上がるタイミングだからこそ、チケットやグッズ購入の際は一拍置いて「自分でURLを打つ」習慣を。盛り上がりと冷静さは両立できます。なお本記事の事実情報はFBI・IC3の一次文書および複数のセキュリティ報道に基づいていますが、被害状況や確認ドメインは今後も更新されるため、最終的な確認は公式サイトをご参照ください。
【主な出典】FBI・IC3 公式PSA(Alert I-052726-PSA, 2026年5月27日)/BleepingComputer/Cybernews/TechRadar/The Hill/Bitdefender Labs ほか
