サッカーワールドカップ2026が開幕し、日本でも連日、多くの人が試合の中継や結果を検索しています。しかしその熱狂の裏側で、Googleの検索結果を悪用した詐欺が広がっています。
特に酷いのが、検索結果の上部に出る「トップニュース枠」です。
こちらの画像は、日本代表のグループステージ第3戦・スウェーデン戦中に[ワールドカップ 中継]で検索した結果です。検索結果の最上部にあるトップニュース枠のすべてが、「伊根町ホームページ」を名乗るサイトの試合中継ページのようなもので埋め尽くされています。

しかし、地方自治体がワールドカップの試合を生中継するはずがありません。これらはすべて、「伊根町ホームページ」の脆弱性を悪用し、正規サイトになりすました詐欺ページです。
日本代表のグループステージ3試合を通して、試合当日に検索が殺到する様々な語句の検索結果を記録したところ、トップニュース枠が詐欺サイトに奪われている同様の事例が多く確認されました。
Googleが検索上位に出していて、しかも公的な名前であれば、検索ユーザは信用するのが当たり前です。その当たり前が、そのまま詐欺の入口に変えられているのは大問題です。
そこでこの記事では、この詐欺がどのような仕組みで起きているのかを解説し、サイト運営者と検索ユーザのそれぞれにできる対策を整理します。
ワールドカップの検索結果で起きていること
まずは、日本代表のグループステージ3試合当日に確認した詐欺サイトの例を、一部お見せします。
第1戦・オランダ戦(2026年6月15日)。[ワールドカップ 中継]の検索結果に、大学を名乗るサイトの偽の配信ページが表示されていました。

第2戦・チュニジア戦(2026年6月21日)。この試合では、複数の語句で大学を名乗る偽の配信ページが現れました。[ワールドカップ ライブ中継]や[ワールドカップ 速報]で表示され、[日本 チュニジア]では「他のニュース結果」に紛れ込んでいました。



第3戦・スウェーデン戦(2026年6月26日)。この試合では、悪用される組織がさらに広がりました。[ワールドカップ]や[スウェーデン]ではカナダの「City of Windsor」、[ワールドカップ 中継]や[ワールドカップ 速報]では京都府の「伊根町ホームページ」と、検索する語句ごとに別の組織を名乗る偽ページがトップニュース枠などを占めていました。




汚染されるのは、トップニュース枠だけではありません。通常の検索結果や動画の枠にも、海外の大学などを名乗る偽の配信ページが同じように紛れ込みます。



また、同じ語句を試合の前後に記録し続けると、偽の配信ページが入れ替わりながらトップニュース枠に出続けている様子が分かります。こちらは[ワールドカップ 中継]の検索結果を約10分おきに観測したものです。

このような偽の配信ページをクリックすると、いくつかのURLを自動的に経由したのち、正規の放送局や配信サービスを装ったページに飛ばされます。

そこで、視聴のための「無料ライブ配信」と称してメールアドレスや氏名、生年月日、パスワードを入力させられたり、視聴料の名目でクレジットカード情報を求められたりします。情報を入力してしまうと、クレジットカードの不正利用や、他のサービスへの不正ログインなど、深刻な被害につながります。当然、試合は見られません。
このような詐欺は今回のワールドカップだけでなく、オリンピックやWBC、箱根駅伝など世間の注目度が高いスポーツイベントが行われるたびに確認されています。
さらにこの詐欺の被害は、悪用されたサイトにも及びます。脆弱性の悪用で大量に作られたページがGoogleに悪質なスパムと判定されると、正規のサイトがトップニュース枠や通常の検索結果に出にくくなることがあります。そうなれば、検索流入の低下は避けられません。また、スパムに名義を貸しているように見えて、信頼やブランドに傷がつくこともあるでしょう。
つまり、検索ユーザだけでなく、名前を勝手に使われたサイトの運営者も、その名前を信じて表示してしまうGoogleも、誰ひとり得をしていません。知らないうちに詐欺の看板にされる自治体や大学があり、多くの人が頼ってきたGoogle検索までもが疑いの目を向けられていきます。そのささやかな信頼関係を切り崩して利益を得るのは、詐欺の攻撃者だけです。
なぜトップニュース枠が詐欺サイトに奪われてしまうのか
これは、クロスサイトスクリプティング(XSS)というWebサイトの脆弱性、およびそれを悪用した手口です。Webサイトには、検索ボックスや入力フォーム、URLのように、ユーザが送った文字を受け取る部分があります。その文字を安全に処理していないと、ブラウザがそれを単なる文字ではなくページの一部とみなし、中に仕込まれたHTMLやスクリプトまで動かしてしまうことがあります。攻撃者はこの脆弱性を突き、用意したプログラムを正規サイトの一部として動かし、偽のページを表示させたり、ユーザを別の詐欺サイトへ誘導したりするのです。
実際にこの弱点が悪用されたのが、360度パノラマの表示に使われる「krpano」というツールです。2025年には、このツールの脆弱性を突いて、大学や自治体、ニュースサイトなど350以上のサイトに偽の広告やページが挿入される事案が報告されました。サイト本体に問題がなくても、組み込んだ外部ツールに脆弱性があれば、このようなことが起きてしまう危険性があります。
裏を返せば、これは脆弱性のあるツールさえ組み込まなければ防げた問題だとも言えるでしょう。とりわけ公共性の高いサイトでは、外部のツールを導入する前に、セキュリティの専門家による確認を欠かすべきではありません。
そしてこの手口のやっかいな点は、Googleがこれをすぐには見抜けないということです。偽のページは長い間高く評価され続けてきたサイトの上に作られるため、検索結果でも本物と同様に評価されます。ネット上で話題になると数時間でGoogleが対処することもありますが、基本的には数日かかることが多いです。スポーツイベントのように短期間で検索が集中する際には、この数日が命取りになります。
攻撃者は、こうしたわずかな隙を突いてきます。外部ツールの脆弱性、Googleが見抜くまでの数日間、そして「名の知れたサイトなら信用できる」という私たちの感覚。そのすべてを利用して、信頼された名前を隠れ蓑にしているのです。
狙われるのは、自治体や大学だけではありません。一般企業のサイトも、個人のサイトも、脆弱性さえあれば同じように踏み台にされます。過去にはkrpano以外のさまざまな外部ツールや、自前で開発したシステムが突かれた例もありました。サイトを持っている人にとって、これは決して他人事ではないのです。
サイト運営者が行うべき対策・対処
サイト運営者にできることは、大きく「対策」と「対処」の2つに分かれます。「対策」とは、脆弱性を作り込まない・ふさぐこと、つまり予防です。これは一般的なWebセキュリティの話なので、ここでは要点だけにとどめます。もう一方の「対処」は、万が一悪用されてしまったときに「早く気づくこと(早期発見)」と「止めて検索結果から消すこと(早期対処)」の2段階です。検索結果を悪用するこの手口においては、一般的な対策に加えて、これから説明する「対処」が必要になります。
① 予防:脆弱性を作り込まない
クロスサイト・スクリプティングへの対策は、出力時のエスケープ処理や入力値の検証といった、一般的なWebセキュリティの基本に沿って行います。IPAの「安全なウェブサイトの作り方」などを参考に、脆弱性を作り込まない・残さないサイト作りを徹底してください。
② 早期発見:異変に気づく
脆弱性を完全に防ぎきるのは難しいため、もし悪用されても、検索結果に出回る前に気づけるようにしておくことが大切です。気づくのが遅れるほど、偽ページは増え、ユーザの被害も広がります。Google Search Consoleを中心に、最低でも以下の点は定期的に確認してください。
Search Consoleの「セキュリティと手動による対策」を確認する
「セキュリティの問題」にハッキングされたコンテンツやマルウェアの警告、「手動による対策」にクローキングや不正なリダイレクト、悪質なスパムなどの指摘が出ていないかを確認します。これらが表示されていれば、サイトが不正に利用されているサインです。
Search Consoleの「インデックス作成」>「ページ」を確認する
身に覚えのないページが急増していないかを見ます。特に「ページがインデックスに登録されなかった理由」に、「ページにリダイレクトがあります」「重複しています。ユーザーにより、正規ページとして選択されていません」「クロール済み – インデックス未登録」「検出 – インデックス未登録」などが急増していれば、偽ページが大量に作られている可能性があります。
Search Consoleの「設定」>「クロールの統計情報」を確認する
ここでは、Googlebotなどがサイトをクロールした回数の推移などを確認できます。新しいページを見つける「検出」のクロールが、身に覚えのないまま急に増えていれば、偽ページが大量に生成されている可能性があります。
Search Consoleの「検索パフォーマンス」を確認する
表示回数の急激な増加や、外国語・無関係なクエリ、身に覚えのないページが出ていないかを確認します。
site:検索で直接確認する
Googleで[site:自社ドメイン]と検索し、知らないページや不審なタイトルが出てこないかを直接確かめます。
③ 早期対処:止めて消す
悪用が見つかったら、一刻も早く止めて消すことが、被害を抑える鍵になります。偽ページの表示が続くほど、ユーザの被害は広がり、サイトの信頼も損なわれます。
- 原因になっているツールやページを止め、偽ページが増えるのを食い止める
- Search Consoleの非表示ツールで、該当ページを検索結果から一時的に非表示にする(数が多い場合は、ディレクトリ単位でまとめて非表示)
- 非表示ツールの一時的な非表示は約半年で切れるため、恒久対応として該当ページを404/410かnoindex
- 「セキュリティの問題」「手動による対策」の警告が出ている場合は、原因を取り除いたうえで再審査をリクエスト
検索ユーザが行うべき対策・対処
ユーザ側にもできることはあります。基本は、視聴もチケット購入も正規のサイトだけを使い、自治体や大学含め本来関係ないはずのサイトは使わないことです。
- 公式の経路以外で試合を視聴しない(NHK、民放各局、DAZNなどを、URL直接入力かテレビ、公式アプリで開く)
- チケットは、FIFA公式サイト(FIFA.com)や公式ホスピタリティプロバイダー以外で買わない
- 試合視聴のために、専用のアプリや拡張機能を入れない
- 不用意に個人情報、クレジットカード情報、パスワードを入力しない
なお、詐欺サイトを開いただけで個人情報や金銭が盗まれることは基本的にありません。しかし、個人情報やクレジットカード情報などを入力してしまうと、これらが盗まれるリスクがあります。もし入力してしまったら、カード会社への連絡、パスワードの変更、場合によっては警察に被害の報告と相談してください。
このような詐欺を完璧に排除する方法はありませんが、ここまで紹介してきたように運営者が異変に早く気づいて偽ページを消したり、ユーザが正規のページかどうかを確かめたりすれば、だまされる人は確実に減ります。地味で手間のかかることばかりですが、そうした地道な対応こそが、誰かの被害を防ぐのです。
取り返しのつかない事態になる前に対処が必要
この詐欺では「Googleの上位にある」「名前の知れた組織のサイトだ」という、私たちが当たり前に信じている2つの安心が悪用されています。いつものように検索し、いつものように1番上をクリックしたユーザが被害にあってしまうのです。
そしてこの詐欺が横行する原因は1つではありません。脆弱性を抱えたまま使われる外部ツール、それを見抜けずに上位へ出してしまうGoogle、そして「上位=安全」と思い込みやすい私たちユーザ。この3つの隙が重なって、被害が生まれています。
5年以上前から続くこの検索結果への攻撃は、このままなにも手を打たなければ今後も続いていくでしょう。もっと言えばこの手口は、災害時の自治体の案内や、病院、銀行のお知らせといった、人々の生命や財産に関わる場面でも使われかねません。検索結果に出てくる名前を信じられなくなって困るのは、ほかでもない私たち自身です。
「詐欺サイトはGoogleがうまく弾いてくれるだろう」「まさか公的機関や大学のサイトが詐欺に使われることはないだろう」といった甘い考えは捨て、サイト運営者も、Googleも、私たちユーザも、長らく続くこの問題に真剣に向き合うべきときではないでしょうか。
出典
- IPA「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity/about.html - Oleg Zaytsev「360XSS: Mass Website Exploitation via Virtual Tour Framework for SEO Poisoning」
https://olegzay.com/360xss/


コメント