国際連合がTycoon 2FAフィッシングサービスを解体

Tycoon 2FA Phishing-as-a-Service PhaaS Cybersecurity Europol Credential Harvesting MFA Bypass Adversary-in-the-Middle
D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 
2026年3月4日
3 分の読み物
国際連合がTycoon 2FAフィッシングサービスを解体

TL;DR

国際連合がTycoon 2FAフィッシングサービスを解体。認証情報、MFAコード、セッションクッキー詐取を阻止。

グローバル作戦でTycoon 2FA PhaaSプラットフォームが解体

Europol主導のもと、法執行機関とセキュリティ企業が連携したグローバルな連合が、サービスとしてのフィッシング(PhaaS)プラットフォームであるTycoon 2FAを解体しました。このプラットフォームは、大規模な中間者(AitM)攻撃による認証情報詐取を容易にしていました。このサブスクリプションベースのフィッシングキットは、TelegramSignal経由で販売され、認証情報、多要素認証(MFA)コード、およびセッションクッキーの詐取に利用されていました。主な開発者は、パキスタンを拠点とするSaad Fridiであるとされています。

Alt text

画像提供:The Hacker News

Tycoon 2FAの規模と影響

EuropolはTycoon 2FAを、サイバー犯罪者がメールやクラウドベースのサービスアカウントに密かにアクセスできるようにする、世界最大級のフィッシング作戦の一つと表現しました。Intel 471の報告によると、このキットは64,000件以上のフィッシング事件と数万件のドメインに関連付けられていました。Microsoftは、2025年10月にこのサービスに関連する1,300万件以上の悪意のあるメールをブロックしましたが、これは2025年半ばまでにMicrosoftがブロックしたすべてのフィッシング試行の約62%を占めています。このサービスは、2023年以降、世界中で推定96,000人の異なるフィッシング被害者に影響を与えています。

プラットフォームの技術的詳細

Tycoon 2FAパネルは、キャンペーンの構成、追跡、および改善の中心的なハブとして機能し、事前構築済みのテンプレート、添付ファイル、ドメインとホスティングの構成、および被害者の追跡機能を備えていました。このプラットフォームは、アクティブなセッションとトークンが明示的に取り消されない限り、パスワードのリセット後でもセッションクッキーを傍受しました。また、検出を回避するために、キーストローク監視、アンチボットスクリーニング、ブラウザフィンガープリンティング、および動的なデコイページも採用していました。フィッシングインフラストラクチャは、検出を複雑にするために、有効期間の短い完全修飾ドメイン名(FQDN)を使用してCloudflareでホストされていました。

Alt text

画像提供:Point Wild

地理的分布と被害状況

SpyCloudによる被害者ログデータの分析では、米国が特定された被害者の最大の集中を示し(179,264人)、次いで英国(16,901人)、カナダ(15,272人)、インド(7,832人)、フランス(6,823人)でした。Proofpointは、2026年2月だけでこのフィッシングキットに関連する300万件以上のメッセージを観測しました。Trend Microは、このPhaaSプラットフォームに約2,000人のユーザーがいたと指摘しています。キャンペーンは、教育、医療、金融、非営利団体、政府など、ほぼすべてのセクターを標的としていました。

攻撃チェーンとテクニック

攻撃チェーンは、悪意のあるリンクまたはQRコードを含むフィッシングメールから始まり、被害者を偽のログインページにリダイレクトしました。これらのページは、Microsoft 365OneDrive, Outlook, SharePoint, およびGmailなどのサービスを模倣し、標的組織のブランディングに合わせて動的に調整されていました。Intel 471は、Tycoon 2FAが、Saad Tycoon Groupに関連付けられていることが多い、その容疑者である開発者が運営するTelegramチャネルを通じて主に販売およびサポートされていたと指摘しました。

Alt text

画像提供:The Hacker News

セキュリティ強化のための推奨事項

Tycoon 2FAの解体は、基本的なMFAを超える堅牢なセキュリティ対策の必要性を強調しています。Trend Microは、フィッシングに強い認証メカニズムの採用、高度なメールおよびコラボレーションセキュリティの展開、リアルタイムのURL検査の有効化、アイデンティティリスク態勢の監視、および定期的なフィッシングシミュレーションの実施を推奨しています。squirrelvpn.comは、VPNテクノロジーとオンラインプライバシーに関する最先端のニュース、洞察、およびアップデートを提供しており、このような脅威から保護するのに役立ちます。

squirrelvpn.comでオンラインセキュリティを強化してください。VPNテクノロジーに関する詳細な記事、ニュースの更新、および機能、そしてオンラインセキュリティとプライバシーを強化するためのヒントをご覧ください。当社のサービスがフィッシング攻撃やその他のサイバー脅威からお客様を保護する方法について、今すぐお問い合わせください。

D
Daniel Richter

Open-Source Security & Linux Privacy Specialist

 

Daniel Richter is an open-source software advocate and Linux security specialist who has contributed to several privacy-focused projects including Tor, Tails, and various open-source VPN clients. With over 15 years of experience in systems administration and a deep commitment to software freedom, Daniel brings a community-driven perspective to cybersecurity writing. He maintains a personal blog on hardening Linux systems and has mentored dozens of contributors to privacy-focused open-source projects.

関連ニュース

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

著者: Marcus Chen 2026年6月3日 4 分の読み物
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

著者: James Okoro 2026年6月2日 4 分の読み物
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

著者: Elena Voss 2026年6月1日 5 分の読み物
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

著者: Sophia Andersson 2026年5月31日 4 分の読み物
common.read_full_article