原題: How hackers bypassed MFA with a $120 phishing kit – until a global takedown shut it down
120ドルのフィッシングキット「Tycoon 2FA」が摘発、多要素認証の盲点を突く攻撃手法とは
2023年に登場した「Tycoon 2FA」は、多要素認証(MFA)を突破し、Microsoft 365やGmailなどのアカウントを狙う悪質なフィッシング・アズ・ア・サービス(PhaaS)プラットフォームです。法執行機関とサイバーセキュリティ業界の連携により、そのインフラが摘発されましたが、依然としてMFAの限界を示す重要な教訓となっています。
主要なポイント
- Tycoon 2FAの特徴:被害者と正規サービスの間に透明なプロキシを挟み、リアルタイムでワンタイムパスワード(OTP)を転送。これによりMFAを回避し、完全に認証されたセッションを攻撃者が取得可能。
- 低価格で利用可能なフィッシングキット:月額約120ドルで、Telegramチャネルを通じて既製のキットにアクセスでき、技術的知識が乏しい者でも大規模攻撃を実行可能。
- 甚大な被害:2025年半ばまでにMicrosoftがブロックしたフィッシング攻撃の約62%がTycoon 2FAによるもので、単月で3,000万通以上の不正メール送信に関与。医療機関や教育機関が特に標的に。
- 官民連携による摘発:米国裁判所命令に基づきMicrosoftが330のアクティブドメインを差し押さえ、欧州各国の法執行機関も犯罪インフラを押収。Cloudflareも関連ドメインやWorkersプロジェクトを停止し、攻撃の拡大を防止。
- MFAの限界と対策:SMSベースのMFAはSIMスワッピングのリスクがあり、Tycoonのようなプロキシ攻撃にはハードウェアセキュリティキーやパスキーが有効であることが改めて示された。
技術的な詳細や背景情報
Tycoon 2FAは「フィッシング・アズ・ア・サービス(PhaaS)」の一種で、攻撃者が簡単に利用できる既製のフィッシングキットを提供します。最大の特徴は、被害者が偽サイトに入力した認証情報やワンタイムパスワードをリアルタイムで正規サイトに転送し、正規の認証プロセスを通過してしまう点です。これにより、多要素認証のセキュリティ機能を事実上無効化します。
この攻撃は「中間者攻撃(Man-in-the-Middle、MITM)」の一種で、被害者とサービス間の通信を攻撃者が仲介し、認証情報を盗み取ります。特にSMSやアプリベースのOTPはこの手法で盗まれやすく、ハードウェアセキュリティキー(例:FIDO2準拠のキー)やパスキー(パスワードレス認証)はプロキシ攻撃に強いとされています。
影響や重要性
Tycoon 2FAによる攻撃は、医療機関や教育機関など社会インフラに深刻な影響を及ぼしました。患者ケアの遅延や学校運営の混乱が報告されており、サイバー攻撃の社会的コストが浮き彫りになっています。
今回の摘発は官民連携の成功例であり、MicrosoftやCloudflare、欧州各国の法執行機関が協力して犯罪インフラを封鎖しました。しかし、サイバー犯罪組織は空白を放置せず、類似のサービスがすぐに台頭する可能性が高いため、継続的な警戒と対策が必要です。
まとめ
Tycoon 2FAの摘発は、多要素認証の安全性に対する過信を戒める重要な事件です。MFAはセキュリティを強化する有効な手段ですが、すべての方式が同等に安全というわけではありません。特にSMSベースの認証はリスクが高く、ハードウェアセキュリティキーやパスキーの導入が推奨されます。
また、サイバー犯罪の手口は日々進化しており、官民の連携による迅速な対応と利用者自身のセキュリティ意識向上が不可欠です。今後も最新の脅威情報を注視し、適切な対策を講じることが求められます。
