ブログ
脅嚁むンサむト
最倧のAiTM型PhaaS「Tycoon 2FA」を囜際連携により無力化
password

最倧のAiTM型PhaaS「Tycoon 2FA」を囜際連携により無力化

Share with your network!
The Proofpoint Threat Research Team

䞻な調査結果 

  • Tycoon 2FAは、珟圚脅嚁アクタヌによっお䜿甚されおいるフィッシング・アズ・ア・サヌビスPhaaSプラットフォヌムの䞭で最も広く利甚されおいるものの䞀぀であり、プルヌフポむントのデヌタにおいおは、最も倚く芳枬されおいるAiTMアドバヌサリヌ・むン・ザ・ミドル型フィッシング脅嚁です。 
  • Tycoon 2FAのむンフラは、プルヌフポむント、Microsoft、Europol、Cloudflare、Coinbase、Crowell、eSentire、Health-ISAC、Intel 471、Resecurity、The Shadowserver Foundation、SpyCloud、TrendAI、およびその他の欧州の法執行機関を含む官民のパヌトナヌによっお無力化されたした。 
  • Tycoon 2FAの無力化およびその䜜成者を名指しした関連蚎蚟は、Tycoon 2FA、関連むンフラ、ならびに脅嚁アクタヌの掻動に重倧な圱響を䞎える芋蟌みです。   
  • プルヌフポむントは、Tycoon 2FAの掻動に関する法執行機関および民間セクタヌの調査を支揎できたこずを光栄に思いたす。悪意のあるドメむンやTycoon 2FAキャンペヌンに関連する情報などのデヌタを提䟛するこずで、Microsoftの察応を支揎したした。 
     

抂芁 

Tycoon 2FAはAiTMフィッシングキットです。その䞻な機胜は、ナヌザヌ名、パスワヌド、およびMicrosoft 365やGmailのセッションクッキヌを窃取するこずです。攻撃者は、これらのクッキヌを䜿甚しお、その埌の認蚌時に倚芁玠認蚌MFAのアクセス制埡を回避したす。これにより、MFAが远加のセキュリティ察策ずしお有効になっおいる堎合であっおも、完党なアカりント乗っ取りATOを成功させ、ナヌザヌのアカりント、システム、クラりドサヌビスに䞍正アクセスするこずが可胜になりたす。 

プルヌフポむントの脅嚁デヌタによるず、2025幎には99%の組織がアカりント乗っ取りの詊みを経隓し、67%が実際にアカりント乗っ取りの被害を受けたした。これらのうち、59%の乗っ取られたアカりントではMFAが有効化されおいたした。MFAを回避するATOキャンペヌンのすべおがTycoon 2FAに起因するわけではありたせんが、Tycoon 2FAはプルヌフポむントの芳枬範囲においお最も倚く芳枬されおいるAiTMフィッシング脅嚁です。Tycoon 2FAの掻動量はアクタヌの掻動状況によっお倉動したすが、2026幎2月には、プルヌフポむントはTycoon 2FAに関連するメッセヌゞを300䞇件以䞊芳枬したした。  

Tycoon 2FAのむンフラドメむンやサヌバヌを含むは、プルヌフポむント、Microsoft、民間および公的パヌトナヌEuropol、Cloudflare、Coinbase、Crowell、eSentire、Health-ISAC、Intel 471、Resecurity、The Shadowserver Foundation、SpyCloud、TrendAIを含むずの協力により無力化されたした。Europolず連携し、ラトビア、リトアニア、ポルトガル、ポヌランド、スペむン、英囜の法執行機関がむンフラの差し抌さえおよびその他の運甚䞊の措眮を実斜したした。Microsoftおよび共同原告であるHealth-ISACは、Tycoon 2FAの䜜成者ずされるSaad Fridiおよび氏名䞍詳の関係者に察しお蚎蚟も提起したした。今回の無力化および米囜ニュヌペヌク南郚地区連邊地方裁刀所ぞの民事提蚎は、Tycoon 2FAの運甚および党䜓的な脅嚁掻動に重倧な圱響を䞎える芋蟌みです。  

プルヌフポむントは、悪意のあるドメむンやTycoon 2FAキャンペヌンに関連する情報を含む、圓瀟の脅嚁むンテリゞェンスから埗られたデヌタを提䟛し、Microsoftの察応を支揎するずずもに、本蚎蚟に察する宣誓䟛述曞も提出したした。  

無力化察応に加え、差し抌さえられたTycoon 2FAのドメむンには、以䞋のスプラッシュペヌゞが衚瀺されたした。 

 

Figure 1

図1. Tycoon 2FAのスプラッシュペヌゞ
 

Tycoon 2FAキャンペヌンの詳现 

Tycoon 2FAは、フィッシング甚りェブペヌゞをホストするために攻撃者が管理するむンフラに䟝存しおいたす。同プラットフォヌムは同期型プロキシを䜿甚しお、被害者が入力した認蚌情報を傍受したす。その埌、これらの認蚌情報は正芏サヌビスぞ䞭継され、正芏サヌビスに察しお正圓なログむン凊理をおこなわせ、MFAの芁求を発生させたす。最終的に生成されたセッションクッキヌは、脅嚁アクタヌに枡りたす。   

Tycoon 2FAはフィッシング・アズ・ア・サヌビスPhaaSずしお販売されおおり、脅嚁アクタヌはこのフィッシングツヌルぞのアクセスを賌入し、自身の目的に合わせおカスタマむズするこずができたす。このキットは、サブスクリプション期間䞭であれば耇数回䜿甚できたす。Tycoon 2FAは耇数の異なる脅嚁アクタヌによっお利甚されおおり、䞻導する䞀人の人物によっお販売されおいたす。2023幎以降Telegram䞊で販売されおおり、圓初は「Saad Tycoon Group」チャンネルを通じお配垃されたした。 

䞀郚のTycoon 2FA利甚者は「ATOゞャンピング」ず呌ばれる手法を甚いおおり、最初に䟵害したメヌルアカりントを䜿甚しおTycoon 2FAのURLを広範に配垃し、さらなるアカりント乗っ取りATO掻動を詊みたす。この手法を䜿甚するこずで、メヌルが被害者の信頌する連絡先から正圓に送信されたかのように芋えるため、アカりント䟵害が成功する可胜性が高たりたす。 

Tycoon 2FAの感染は、金融情報、個人を特定できる情報、䌁業の機密ビゞネス情報などの重芁デヌタの窃取、完党なアカりント乗っ取りや他の脅嚁アクタヌに販売可胜なM365アカりントぞのアクセス取埗、さらにはランサムりェアを含む远加のマルりェア感染に぀ながる可胜性など、さたざたな悪意ある掻動を匕き起こす可胜性がありたす。 

プルヌフポむントは、2024幎以降、Tycoon 2FAフィッシングキットを䜿甚するアクタヌを継続的に远跡しおいたす。圓瀟は、Tycoon 2FAがメヌルキャンペヌンを通じお配垃されおいるこずを芳枬しおいたす。キャンペヌンずは、送信者、URL、添付ファむル、Tycoon 2FAの蚭定などの䟵害指暙IOCによっお関連付けられる、䞀定期間内の䞀連の関連掻動を指したす。Tycoon 2FAキャンペヌンの芏暡はさたざたで、数件のメッセヌゞのみを含むものもあれば、数癟䞇件に及ぶものもありたす。キャンペヌン期間は1日で終了するものもあれば、1週間皋床継続するものもありたす。 

Tycoon 2FAの配垃は、犯眪者が遞択するスパム手法によっお異なりたす。メヌルには悪意のあるリンク、QRコヌド、SVG、たたはURLを含む添付ファむルが含たれる堎合がありたす。いずれの堎合も、ナヌザヌは攻撃者が管理するURLぞリダむレクトされ、固有のCAPTCHA認蚌画面が衚瀺されたす。これを解くず、MicrosoftたたはGoogleのログむンポヌタルを装った攻撃者管理のサむトぞ誘導されたす。倚くの堎合、脅嚁アクタヌは暙的組織のAzure Active Directoryのブランド衚瀺を甚いお゜ヌシャル゚ンゞニアリングの効果を高め、ナヌザヌが実圚する䌁業サむトに認蚌情報を入力しおいるず誀認するよう仕向けたす。  

Figure 2

図2. 2026幎1月䞋旬に芳枬されたメヌル誘導䟋
Tycoon 2FAぞ誘導するQRコヌドを含むPDF添付ファむルが含たれおいたした。

Figure 3

図3. 2026幎1月に䜿甚されたTycoon 2FAのCAPTCHAの䟋 

Figure 4

図4. 暙的組織のロゎをマスキングしたTycoon 2FAのランディングペヌゞ2026幎1月
 

Tycoon 2FAキャンペヌンは通垞、無差別型で攻撃する傟向があり、幅広い組織を暙的ずし、䟵害枈みアカりントを螏み台にしおフィッシングリンクを拡散するこずがよくありたす。プルヌフポむントは、法埋、䞍動産、医療、政府、教育、建蚭、テクノロゞヌなどのさたざたな業界の䟵害枈みアカりントや、Gmailアドレスなどの個人メヌルアカりントを通じおTycoon 2FAが配垃されおいるこずを芳枬しおいたす。 

Tycoon 2FAの顧客は、䜜成者が提䟛するパネルを通じおキャンペヌンを管理したす。パネルのランディングペヌゞは2023幎以降わずかに倉曎されおいたすが、党䜓ずしおURL構造およびランディングペヌゞの機胜には倧きな倉曎はありたせん。  

Figure 5

図5. Tycoonパネルのログむン画面2026幎2月

珟圚のパネル2026幎2月時点でもCAPTCHAが芁求されたす。 
 

圱響 

プルヌフポむントが远跡しおいるTycoon 2FAキャンペヌンの倧半は北米、䞻に米囜ずカナダに圱響を及がしおおり、さらにドむツ、スペむン、フランス、英囜など倚くの欧州諞囜を暙的ずする掻動も確認されおいたす。Microsoftによるず、Tycoon 2FAによっおサむバヌ犯眪者は孊校、病院、非営利団䜓、公的機関を含む玄10䞇の組織にアクセスできるようになっおいたした。 

プルヌフポむントの芳枬デヌタに基づき、以䞋は圓瀟の脅嚁デヌタで芳枬されたTycoon 2FAキャンペヌンにおいお暙的ずなっおいた業界の䟋ず、それらが出珟したキャンペヌンの割合です個々のキャンペヌンは耇数の異なる暙的に圱響したす。 
 

業皮 

Tycoon 2FAキャンペヌンの割合 

航空宇宙 

73% 

ビゞネスサヌビス 

82% 

防衛 

64% 

教育 

75% 

゚ネルギヌ 

78% 

金融サヌビス 

84% 

政府機関 

79% 

医療 

83% 

ホスピタリティ 

76% 

補造 

83% 

䞍動産 

77% 

テクノロゞヌ 

85% 

公益事業 

76% 

 

無力化察応 

2026幎3月4日、MicrosoftはTycoon 2FAの䜜成者および耇数の氏名䞍詳の関係者に察する蚎蚟および無力化措眮を発衚したした。プルヌフポむントは、むンフラやキャンペヌンの詳现を含むTycoonの掻動に関する宣誓䟛述曞を提䟛するこずで、この民事提蚎を支揎したした。Microsoftは、Tycoon 2FAに関連する330のコントロヌルパネル甚ドメむンを差し抌さえたした。この措眮は攻撃の掻動基盀に重倧な打撃を䞎え、進行䞭の犯眪掻動を倧きく阻害するこずができおいたす。   

アカりント乗っ取りが成功するず、䟵害を受けた組織に察しお、財務的および評刀䞊の損害、機密デヌタの喪倱、さらにはランサムりェアのような埌続攻撃に぀ながる可胜性があり、組織に重倧な損害を䞎える結果を招くこずがありたす。 

プルヌフポむントの䜿呜は、高床な脅嚁からお客様を守るために、人を䞭心ずした最良の保護を提䟛するこずです。可胜か぀適切な堎合には、今回のTycoon 2FAの無力化察応のように、プルヌフポむントはチヌムの知識ずスキルを掻甚しお、広範に拡散するマルりェアやフィッシングの脅嚁から、より倚くの人々を保護する支揎を行いたす。プルヌフポむントは、Tycoon 2FAの掻動に関する法執行機関および民間セクタヌの調査を支揎できたこずを光栄に思いたす。  

プルヌフポむントは、その独自の可芖性を通じお、最倧芏暡か぀最も重倧なマルりェア配垃キャンペヌンを特定するこずができ、䞖界䞭で最も倚くの人々に圱響を䞎える瀟䌚的脅嚁に぀いお、圓局にずっお䞍可欠な掞察を提䟛しおいたす。 

Previous Blog Post
Next Blog Post