概要
Tycoon2FAのオペレーターは、法執行機関と業界パートナーによるプラットフォームのコアインフラストラクチャに対する干渉からわずか数日後に、大規模なクラウドアカウントフィッシングを再開しました。これは、フィッシング・アズ・ア・サービス(PhaaS)エコシステムとインフラストラクチャのみの取り締まりにおける限界を示しています。
法執行機関による干渉
ラトビア、リトアニア、ポルトガル、ポーランド、スペイン、イギリスの当局は、Tycoon2FAのコントロールパネルとフィッシングページを動かす330以上のドメインを確保しました。このプラットフォームは2023年から活動しており、2025年の中頃にはMicrosoftがブロックした全フィッシング試みの約62%を占めていました。
PhaaSプラットフォームの詳細
Tycoon2FAは、マルチファクタ認証(MFA)をバイパスし、大規模にクラウドメールアカウントを侵害するためのサブスクリプションベースのPhaaSプラットフォームでした。このプラットフォームは、攻撃者の中間者(AiTM)技術を使用して、ライブ認証セッションを傍受し、Microsoft 365やGoogleアカウントの資格情報をキャプチャしました。
活動の一時的な低下と再開
CrowdStrikeは、3月4日の干渉後、Tycoon2FAの活動が一時的に低下したことを観察しました。しかし、数日以内にクラウド侵害の修正量は早期2026年の基準に戻り、サービスの戦術、技術、手順(TTPs)には変更はありませんでした。
Phishingキャンペーンの継続
CrowdStrikeは、3月4日から6日の間に少なくとも30件以上のTycoon2FAによって可能になったと思われるフィッシングインシデントを観察しました。これらの攻撃では、偽のMicrosoft 365やGoogleログインポータルがホストされ、被害者のセッションクッキーが盗まれました。
PhaaSオペレーターの対応
Tycoon2FAのオペレーターとその顧客は、攻撃者登録ドメインや侵害された正当なサイトを活用してフィッシングキットをホストし続けています。これらの活動には、URL短縮サービスや合法的なプレゼンテーションプラットフォームに埋め込まれたリンクの使用も含まれています。
今後の対策
Tycoon2FAの事例は、アイデンティティ、メール、クラウドレイヤー全体での継続的な可視性とリアルタイムの相関分析が重要であることを強調しています。また、攻撃者がアクセスを収益化する前にBECやクラウドアカウント取り締まりを行う迅速な対応能力も必要です。