原題: How hackers bypassed MFA with a $120 phishing kit – until a global takedown shut it down
120ドルでMFAを回避可能なフィッシングキット「タイクーン2FA」摘発の全貌
2023年に登場した「Tycoon 2FA」は、多要素認証(MFA)を回避し、Microsoft 365やGmailなどのアカウントを不正アクセスする高度なフィッシングキットです。法執行機関とサイバーセキュリティ業界の連携により、この悪名高いプラットフォームが摘発されました。
主要なポイント
- Tycoon 2FAの仕組み:被害者のログイン情報をリアルタイムで正規サイトに転送する透明なプロキシ機能を持ち、MFAのワンタイムパスワード(OTP)も盗み取ることで認証を突破。
- 低価格でのサービス提供:月額約120ドルで、技術的知識が乏しい者でも利用できる既製のフィッシングキットをTelegram経由で提供し、大規模な攻撃を可能に。
- 甚大な被害:2025年半ばまでにMicrosoftが検知したフィッシングの62%を占め、医療機関や教育機関を中心に世界中で数万件の被害が発生。
- 官民合同の摘発作戦:米国をはじめ複数国の法執行機関が協力し、330以上の関連ドメインを差し押さえ、Cloudflareも関連インフラの遮断を実施。
- 多要素認証の限界と対策:SMSベースのMFAは脆弱であり、ハードウェアセキュリティキーやパスキーの利用がより安全であることが示唆された。
技術的な詳細や背景情報
Tycoon 2FAは「フィッシング・アズ・ア・サービス(Phishing-as-a-Service)」の一種で、ユーザーが偽のログインページに誘導されると、その情報がリアルタイムで正規サイトに送信されます。これにより、被害者が入力したワンタイムパスワード(OTP)も攻撃者に渡り、MFAの保護を突破可能です。通常、多要素認証はパスワードだけでなく追加の認証要素を必要とするため安全性が高いとされていますが、Tycoon 2FAのような中間者攻撃(MITM)型のプロキシ技術により、その防御が無効化されてしまいます。
また、このキットはTelegramのプライベートチャンネルを通じて配布され、技術的な専門知識がなくても簡単に大規模な攻撃を仕掛けられる点が特徴です。被害は医療機関や教育機関に集中し、患者ケアの遅延や学校運営の混乱を引き起こしました。
影響や重要性
Tycoon 2FAの摘発は、サイバー犯罪に対する官民連携の成功例として注目されます。一方で、このような高度なフィッシングキットが低価格で広まることで、多くの組織や個人が依然としてリスクにさらされている現状も浮き彫りになりました。
さらに、多要素認証の種類によっては攻撃に対して脆弱であることが明らかになり、セキュリティ対策の見直しが求められています。特にSMSベースのMFAはSIMスワッピング攻撃や今回のようなプロキシ攻撃に弱いため、ハードウェアセキュリティキーやパスキーの導入が推奨されます。
まとめ
Tycoon 2FAは、多要素認証の盲点を突いた高度なフィッシングキットであり、世界中で甚大な被害をもたらしました。今回の摘発は大きな前進ですが、サイバー犯罪者は常に新たな手法を模索しているため、ユーザー側も最新のセキュリティ対策を継続的に見直す必要があります。多要素認証の中でも、より安全性の高いハードウェアキーやパスキーの利用が今後ますます重要になるでしょう。
