📊 3行サマリー

  • 2026年4月27日、犯罪フォーラム「PwnForums」にアジアサッカー連盟(AFC)と加盟クラブ計150,000人超の登録データが公開された
  • 流出にはクリスティアーノ・ロナウドが所属するサウジ・アル・ナスルFCの選手・コーチ情報、パスポートスキャン、契約書、メールアドレス、AFCチャンピオンズリーグEliteの登録ファイルが一式そろう
  • AFC加盟47協会のうち日本サッカー協会(JFA)も対象。横浜F・マリノス、ガンバ大阪、川崎フロンターレらACLE出場クラブの選手データも漏洩圏内

📝 アジアサッカー連盟15万人分が闇市場へ、サッカー史上最大規模の流出

サウジ・リヤドに本部を置くサウジ・プロリーグの強豪アル・ナスルFCを含むアジアサッカー連盟(AFC)の管理データが、2026年4月27日に犯罪フォーラム「PwnForums」上で一括販売された。攻撃者はAFC加盟47協会のうち主要クラブの登録選手・コーチ約150,000件のレコードを「サッカー史上最大規模」と称して公開。流出データの内訳はパスポートスキャン、契約書、メールアドレス、AFCチャンピオンズリーグEliteの登録ファイル。AFCは2026年5月17日時点で公式コメントなし。

📰 TechRadar/Dataminr報告:PwnForums投稿、ShinyHunters名義で「AFC全選手データ」

元ネタIs this ‘the largest breach in football history’? Hackers allegedly breach Cristiano Ronaldo’s Saudi team and AFC governing body(TechRadar / 2026-04-29)

The Asian Football Confederation (AFC), the main governing body for football in Asia, has apparently been compromised after an attack saw highly sensitive and personal details on more than 150,000 members exposed to the dark web.

脅威インテリジェンス企業Dataminrが2026年4月29日に公開したIntel Briefによると、攻撃者は犯罪フォーラム「PwnForums」上で「AFC全選手・コーチデータベース」を売りに出し、アル・ナスルFCの登録情報を含むサンプルを投稿した。投稿主はShinyHunters名義を使ったが、Dataminrのアナリストの読みでは「フォーラム運営側の人物がShinyHunters信用を借りた便乗投稿」。本物のShinyHuntersではない可能性が高い。

🔥 流出はパスポート・契約書・メール一式、財務詐欺と契約改竄の格好の材料

漏洩したのは選手のフルネーム、生年月日、国籍、ポジション、AFC ID、所属クラブ名、試合情報、会場、契約書、メールアドレスまで揃った構造化データ。DataminrのField Cyber Intelligence Officer、Jeanette Miller-Osborn氏は「パスポートスキャン、検証済みメール、選手契約データの組み合わせは、財務詐欺、契約改竄、世界最高年俸の選手を狙ったソーシャルエンジニアリングに直結する」と警告する。同フォーラムでは2025年6月のSaudi Games漏洩(Cyber Fattahグループ/6,000選手分)に続く2件目の大型サッカー漏洩。サウジが主催する大型スポーツイベント周辺は、明らかにサイバー攻撃の連鎖フェーズに入った。

🌏 サウジ系メディア、ロナウド資産防衛とAFCの沈黙を二方向で批判

Arab News、Saudi Gazette系の論調は「単独クラブの責任ではなくAFC統括組織側のセキュリティ責任」へ寄せ、Saudi PIF(公的投資ファンド)所有のアル・ナスルFCへの直接ダメージを回避したい意図が透ける。一方で湾岸ジオポリ系のオピニオン記事は「2034 FIFAワールドカップ主催を控えたサウジが、Saudi Games・AFCと連続で巨大漏洩を許した」と批判的。AFCはアジアサッカー連盟という超国家組織でNCA(国家サイバーセキュリティ庁)の管轄外だが、サウジのVision 2030「スポーツ大国化」戦略には確実に逆風。

🇯🇵 横浜FMなどACLE登録のJリーグ選手データも漏洩圏内

AFCチャンピオンズリーグElite(旧ACL)には2025-26シーズン、Jリーグから横浜F・マリノス、ガンバ大阪、サンフレッチェ広島、川崎フロンターレなどが参加し、過去10シーズン延べ20クラブ超が登録している。AFC加盟協会としてJFAが管理する選手データの大半は中央データベースに統合されている構造のため、Jリーグの代表選手のパスポート情報・契約情報が漏洩圏内に入る公算が大きい。日本サッカー協会(JFA)は2026年5月17日時点で公式声明なし。海外移籍交渉中のJリーガーや、AFC審判団登録の日本人レフェリーは、ID情報を悪用したフィッシング・なりすまし攻撃の警戒レベルを上げる必要がある。

🏁 ワールドカップ前夜、アジア統括団体の情報保護が問われる構造

2026 FIFAワールドカップ開幕(6月11日)まで約6週間という最悪のタイミングでの漏洩は、選手個人のセキュリティリスクを直撃するだけでなく、アジアサッカー連盟という認証ハブの脆弱性そのものを露わにした。Jリーグ各クラブが自前で導入する選手データ保護策は、最終的にAFC中央DBの安全性に乗っかっている。アジア地域のスポーツ統括団体は、加盟47協会の選手データを一元管理する責任の重さを、いまコストとして引き受けるしかない。