Tycoon2FAの脅威が拡大

Tycoon2FAは、マイクロソフトがStorm-1747として追跡している高度なフィッシング・アズ・ア・サービス（PhaaS）プラットフォームであり、2025年を通じてOffice 365アカウントを狙った最大の脅威となっています。このサイバー犯罪組織は、約100万件に及ぶ攻撃を仕掛け、本年、セキュリティ研究者によって観測された中で最も多作なフィッシングプラットフォームとしての地位を確立しました。2025年10月だけでも、Microsoft Defender for Office 365は、Tycoon2FAインフラストラクチャに関連する1300万通以上の悪意あるメールをブロックしています。これは、このプラットフォームを運営する脅威アクターの規模と執拗さを示すものです。

巧妙な攻撃手口

Storm-1747は、偽CAPTCHAフィッシング戦術の急増の背景にある主要な要因となっています。これらの攻撃は、一見すると正規に見えるセキュリティ検証画面の裏に悪意あるリンクを隠し、疑うことを知らないユーザーを騙します。10月には、すべてのCAPTCHAゲート型フィッシング攻撃の44%以上がTycoon2FAインフラストラクチャに起因するとマイクロソフトは報告しています。

また、Tycoon2FAはQRコードフィッシングも新たな攻撃ベクトルとして採用しています。2025年10月に検出された全QRコードフィッシング攻撃の約25%がこのプラットフォームと直接関連していました。セキュリティ分析により、ほとんどのQRコードフィッシング攻撃は、悪意あるQRコードを含むPDFやDOC/DOCXファイル添付を通じて配信されていたことが明らかになっています。この配信方法は、一般的なドキュメント形式に対するユーザーの信頼を悪用し、埋め込みQRコードを徹底的にスキャンできない従来のメールセキュリティフィルターを迂回します。

あるTycoon2FAの大規模なキャンペーンでは、182カ国の組織を標的に約92万8000通ものメッセージが送られました。攻撃者は、「DOCUMENT HERE」といった欺瞞的なリンクと国別のGoogleリダイレクトを組み合わせ、被害者をOffice 365のログイン情報を窃取するためのクレデンシャルハーベスティングWebサイトへと誘導しました。

組織が取るべき対策

Tycoon2FAの活動から身を守るためには、組織はMicrosoft Defender for Office 365における堅牢なセキュリティ構成を最優先する必要があります。セキュリティチームは、すべてのユーザーアカウントに対してフィッシング耐性のある多要素認証（MFA）を有効にすることが、防御の重要な第一線となります。さらに、パスワードレス認証ソリューションの導入は、クレデンシャル窃取に対する追加の保護を提供します。

• 多要素認証（MFA）の有効化: すべてのユーザーアカウントでフィッシング耐性のあるMFAを導入する。
• パスワードレス認証ソリューションの導入: 認証のセキュリティを強化する。
• 最新の脅威ポリシーの維持: Microsoft Defender for Office 365を適切に設定し、最新の状態に保つ。
• 自動検出ツールの活用: 攻撃者の機会を制限するために、脅威検出ツールを導入する。
• ユーザー意識向上トレーニング: 偽CAPTCHA画面や不審なQRコードを見分ける方法についてユーザーを教育する。

これらの複合的な対策は、この執拗なフィッシング脅威に対する回復力を強化するでしょう。

元記事: https://gbhackers.com/tycoon2fa-launches-nearly-1-million-attacks-targeting-office-365-accounts/