2026 年に開催されたミラノ・コルティナ冬季オリンピックの前後に、「公式チケット予約」や「オリンピック公式グッズ販売」を装ったフィッシングドメインが多数観測されています。これらのサイトは、公式ブランド要素を積極的に模倣し、割引プロモーションや限定販売といった文言を用いて利用者の信頼を誘導した上で、決済情報や個人情報を窃取する手口を取っています。
本レポートでは、AI ベースのサイバー脅威インテリジェンスである Criminal IP のドメイン検索および IT資産検索 データを基に、個別 URL 単位の分析ではなく、キャンペーン単位のインフラ構造という観点から本事例を分析します。
分析概要:異なるドメイン、繰り返されるパターン
上記のイメージから確認できるとおり、当該フィッシングサイトは単なる低品質なランディングページにとどまらず、相当に精巧に制作されています。
上部はオリンピック公式ウェブサイトを装ったドメインの接続画面であり、下部は公式グッズストアに類似した商品構成画面です。
当該フィッシングサイトは、以下の要素を積極的に模倣していました。
- オリンピック公式ロゴに類似した配置および配色構成
- “Official Ticket”、“Winter 2026”、“Limited Sale” など、公式イベントと誤認させるキーワードの使用
- 実際の公式ストアと類似した商品サムネイル配置および価格表示方式
- カート機能やログインアイコンなど、正規の EC サイトと同様の UI 構造の実装
- モバイル環境でも自然に動作するレスポンシブデザインの採用
特に一部の商品は公式ウェブサイトよりも低価格で表示されており、「UP TO 50% OFF」や「Limited Offer」といった緊急性を強調する文言によって購入を促していました。一般利用者が URL を詳細に確認しない場合、デザインの完成度のみでは公式サイトと見分けることが困難な水準です。
しかし、このような視覚的な類似性とは対照的に、ドメインおよびインフラレベルでは明確な異常兆候が確認されました。
リアルタイム URL スキャンに基づくリスク分析
Criminal IP のドメイン検索機能を通じて複数の疑わしいドメインを比較・分析した結果、構造的に類似したメタデータパターンが確認されました。
1. 総合リスク評価
- ドメインスコアリング:80.0% (Dangerous)
- 類似ドメインの可能性:99.99%
ドメインスコアリングが 80% と評価されていることは、当該ドメインが悪性行為と関連している可能性が高いことを示しています。特に類似ドメインの可能性が 99.99% と表示されている点は、当該ドメインが単独で運用されているのではなく、類似パターンを持つドメイン群(キャンペーンクラスター)に含まれている可能性を示唆しています。
これは、大規模スポーツイベント、国際博覧会、ワールドカップなどにおいて繰り返し観測される、イベント悪用型フィッシングキャンペーンの特徴と一致しています。
2. Obfuscated Script の検知
分析の結果、ページ内でスクリプトの難読化が確認されました。
難読化スクリプトは、一般的に以下の目的で使用されます。
- セキュリティ分析の回避
- 悪性コードの隠蔽
- 自動リダイレクトロジックの秘匿
- ユーザー入力データ収集コードの隠蔽
公式の国際イベントウェブサイトにおいて、過度なスクリプト難読化が用いられるケースは稀です。この点は、当該サイトが正規の商取引サイトではなく、悪性行為を隠蔽する目的のインフラである可能性を一層強める要素となります。
3. Fake Favicon の検知
偽装されたファビコン(Fake Favicon)の使用も確認されました。
これは、以下のような心理的手法を利用するものです。
- 公式サイトと類似したアイコンの挿入
- 利用者に視覚的な既視感を与えること
- アドレスバーに基づく信頼の錯覚を形成すること
正規の組織が運営するウェブサイトであれば、ブランド資産を偽装する形で使用する理由はありません。そのため、Fake Favicon の検知は、ブランド詐称型フィッシングを示す強力な状況証拠と評価されます。
4. 新規ドメイン(Newborn Domain)の特性
当該ドメインは、大会直前に登録された新規ドメインであることが確認されました。
新規ドメインに一般的に見られる特徴は、以下のとおりです。
- 長期的な運用履歴が存在しないこと
- 蓄積されたレピュテーションデータが不足していること
- 検索エンジン上での露出履歴が限定的であること
一方、正規の国際イベント公式ウェブサイトは、通常以下のような信頼指標を備えています。
- 長期にわたる運用実績
- 蓄積されたブランド評価
- 検索エンジン上での上位表示履歴
- 信頼性の高い認証局(CA)による証明書の使用
本事例のドメインは、登録直後から即座に運用が開始された典型的な短期型フィッシングインフラの特性を示していました。
IP インフラ分析:単一 IP 基盤のキャンペーン型運用の兆候および CDN ベースのインフラ隠蔽構造
Criminal IP の IT資産検索 による追加分析の結果、複数のオリンピック詐称ドメインが同一の CDN IP 環境上で観測され、生成時期も類似した期間に集中していることが確認されました。
特に、以下の共通点が観測されました。
- 同一 IP アドレスに多数のドメインが紐付いていること
- ドメインの生成時期が 2~3 日以内に集中していること
- 「olympic」「2026」「sale」「hot」などのイベント関連キーワードが繰り返し使用されていること
- 登録情報が非公開であること(Registered agency:none)
これらのパターンは、個別サイト単位の運用ではなく、自動化された大量登録および配布構造を持つキャンペーン型インフラである可能性を示唆しています。
一般的に攻撃者は、テンプレート化されたフィッシングページを一つ作成した後、類似キーワードを組み合わせたドメインを多数生成し、同一インフラに接続します。そして特定のドメインが遮断された場合には、別のドメインへ即座にトラフィックを切り替えることで検知を回避します。
さらに、当該 IP は CDN ベースのリバースプロキシ構造で運用されているにもかかわらず、外部インテリジェンス上で 実IP として分類された別のサーバー IP が特定されました。これは単なる CDN エッジサーバーのみを利用する構成ではなく、実際のオリジンサーバー(Origin)に関連するインフラ情報の一部が外部分析を通じて識別された可能性を示しています。ただし、当該 IP が最終的な攻撃者インフラであると断定することはできず、あくまでオリジンサーバー候補として解釈するのが妥当です。
オリンピックチケット型フィッシング攻撃の予防方法
イベント期間中は、精巧な UI、実際の決済システムとの連携、SNS 広告の活用などにより検知がより困難になります。そのため、以下のような点検が必要です。
- 新規登録ドメインかどうかの確認
- ドメインのレピュテーションおよびリスク評価の確認
- HTTPS 証明書の発行主体の確認
- イベント関連キーワードに基づくドメイン検索
- 同一 IP への接続状況の分析
- 類似ドメインクラスターの確認
Criminal IP のドメイン検索および IT資産検索 を活用することで、単一 URL の遮断にとどまらず、キャンペーン単位でのインフラ追跡や拡散範囲の分析が可能となります。
結論
2026 年ミラノ・コルティナ冬季オリンピックを悪用した本事例は、短期的なチケット詐欺にとどまらず、組織的なキャンペーン運用の兆候が確認されたインフラ型フィッシング事例と評価できます。
イベント自体が終了した後も、ドメイン生成パターンやインフラ構造は繰り返し再利用される可能性が高いため、セキュリティ対応も単純な URL 遮断中心の対策から、キャンペーン単位のパターンに基づく脅威インテリジェンス(Campaign-Level Intelligence)アプローチへ転換する必要があります。
なお、関連して、ドメインを変えながら存続する違法漫画サイト「ブラックトゥーン」— 詐欺サイトを見分けるには?の記事も参考にしてください。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP (https://www.criminalip.io/ja)