FIFAワールドカップ2026公式パートナーの3分の1超、メール詐欺対策に課題プルーフポイントが警鐘

サイバーセキュリティ企業のプルーフポイントは、2026年に開催されるFIFAワールドカップの公式パートナー企業を対象とした調査結果を発表しました。同調査によると、対象企業の約3分の1超が、メールのなりすましに対する最も強力なセキュリティ対策であるDMARCの「reject」ポリシーを導入しておらず、一般消費者がメール詐欺の被害に遭うリスクに直面していると指摘しています。

ワールドカップを狙うサイバー犯罪の脅威

見出し

1 ワールドカップを狙うサイバー犯罪の脅威
2 DMARC導入状況に課題残る
3 メール認証プロトコル「DMARC」とは
4 専門家が警鐘、ファンへの注意喚起も

サイバー犯罪者は、FIFAワールドカップのような世界的なスポーツイベントを好機と捉え、スポンサー企業や航空会社、ホスピタリティブランド、配送サービスなどを装ったソーシャルエンジニアリング詐欺をファンに仕掛けることが常態化しています。類似ドメインやなりすましメールが悪用される手口が一般的です。旅行やチケット購入、プロモーション、グッズ販売が急増する大会開幕前の時期は、特に詐欺の脅威が増すと指摘されており、関係する組織全体でのセキュリティ強化が求められています。

DMARC導入状況に課題残る

プルーフポイントは、なりすましリスクに対する現在の防御態勢を把握するため、ワールドカップスポンサー各社のドメインを対象に、DMARC（Domain-based Message Authentication, Reporting and Conformance）認証の導入状況を分析しました。調査は2026年2月に実施されています。

分析対象の25ドメインのうち、24ドメイン（96%）がDMARCポリシーを導入しているといいます。多くの組織でメールドメインのなりすまし対策が開始されているものの、課題も残されています。

具体的には、25ドメインのうち16ドメイン（64%）のみが、未認証のなりすましメールの配信を防ぐ最も強力なDMARCポリシーである「reject（拒否）」を適用し、自社ドメイン名を積極的に保護している状況です。この結果、約3分の1超（36%）の企業が、自社ブランドをかたる不正メールを積極的にブロックする対策を講じていない状況です。また、25ドメインのうち8ドメイン（32%）は、DMARCポリシーが「none（モニタリングのみ）」または部分的な適用にとどまり、可視性はあるものの、なりすましメールの受信を防止できていないといいます。なお、FIFA自身は、最高レベルのDMARCポリシーである「reject」を設定済みです。

メール認証プロトコル「DMARC」とは

DMARCは、サイバー犯罪者によるドメイン名の不正利用を防ぐために設計されたメール認証プロトコルです。メッセージが宛先に届く前に送信者の身元を認証する仕組みを持ちます。DMARCポリシーには3つのレベルがあり、厳格な順に「reject（拒否）」「quarantine（隔離）」「none（モニタリングのみ）」が設定可能です。「reject」は、不審なメッセージが受信トレイに届くのを防ぐ最も強力な保護レベルとされています。

専門家が警鐘、ファンへの注意喚起も

プルーフポイントのサイバーセキュリティ戦略ディレクター（APJ）であるジェニファー・チェン氏は、「FIFAワールドカップのような世界的なスポーツイベントは、サイバー犯罪者が人々の高揚感や切迫感、信頼を大規模に悪用するための格好の機会となります」と述べています。特にAI搭載ツールの進化により、攻撃の実行は容易になり、検知は困難になっていると指摘しています。チェン氏は、企業に対して不正メールを受信前にブロックする対策の強化と、フィッシングシミュレーションや継続的なトレーニングを通じた従業員の意識向上を進める必要性を強調しました。

FIFAワールドカップのファンは、特に大会開幕前の時期に注意を払い、以下の推奨事項に留意することが重要です。