瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓：多要素認証を無効化

MFA（多要素認証）を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。

[Alex Scroxton，TechTarget]

　フィッシング攻撃を仕掛けるサイバー犯罪集団「Tycoon2FA」が、欧州刑事警察機構（Europol）を中心とした機関によって摘発され、Tycoon2FAの主要インフラを成す330ドメインが停止された。摘発作戦には、英国国家犯罪対策庁（NCA）の他、CloudflareやMicrosoft、Proofpoint、トレンドマイクロなどが協力した。Tycoon2FAはどのような集団だったのか。そして「残る脅威」とは何か。

摘発後も残るTycoon2FAの脅威

併せて読みたいお薦め記事

MFAは本当に安全なのか

• 本当に安全な「多要素認証」とは？　MFA基本要素と巧妙化する攻撃への対抗手段
• 「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う？

　Tycoon2FAは2023年夏に活動を開始し、Microsoftのサブスクリプションサービス「Microsoft 365」や、メールサービス「Gmail」をはじめとしたGoogleの各種サービスを狙ってきた。被害者の大半は米国におり、英国やドイツ、カナダのユーザーも標的にされていた。Microsoftによると、英国だけで5000人以上がTycoon2FAの被害に遭っている。

　Microsoftデジタル犯罪部門のスティーブン・マサダ氏は、「2025年中頃までに、Tycoon2FAはMicrosoftがブロックしたフィッシング試行の約62%を占めていた」と述べる。2023年以降、Tycoon2FAによる約9万6000人のフィッシング被害者がいると推定され、そのうち約5万5000人がMicrosoftのユーザーだという。特に標的にされていたのは、医療機関や教育機関だった。

　Tycoon2FAは、偽のログインページやプロキシサイトを作るためのツールキットを攻撃者に提供していた。近年は、標的システムのセキュリティ対策を回避するための機能もツールキットに追加されていた。摘発時点で約2000人のアクティブな加入者（攻撃者）がいたとみられる。

　トレンドマイクロのサイバー犯罪研究ディレクター、ロバート・マカードル氏は「Tycoon2FAのツールキットは単なるフィッシングキャンペーンではなく、MFA（多要素認証）を回避するためのサービスだ」と説明する。トレンドマイクロはTycoon2FAの活動を長期間追跡し、2025年11月にはサービスの開発者と主要運営者とされるサード・フリディ氏を特定することに成功。Europolと情報を共有し、迅速な行動を可能にしたという。

　Tycoon2FAは、フィッシング用ツールをサービスで提供する「Phaas」（Phishing as a Service）のモデルを採用していた。他のPhaas集団には、「BlackForce」や「GhostFrame」「InboxPrime AI」などがある。InboxPrime AIが提供するツールは、生成AI（人工知能）を活用して人間の行動を模倣することでフィッシング攻撃の精度を高めるようにしている。これらのツールは、ランサムウェア（身代金要求型マルウェア）攻撃の初期アクセス手段として利用されることがある。

Tycoon2FAの脅威とその対策

　Tycoon2FAは、フィッシング攻撃の技術的な参入障壁を下げ、より多くの攻撃者が高度な攻撃を仕掛けることを可能にしたため、深刻な脅威だった。その活動停止はPhaaSのエコシステムに打撃を与えるが、根本的な脅威は依然として存在する。Tycoon2FAはインフラを分散させているとみられ、全てを把握、停止させるのは困難だ。今後、違う名前で活動を再開する可能性もある。トレンドマイクロは「Tycoon2FAの動きを引き続き監視する」と述べる。

　企業はフィッシング攻撃に備え、強固な認証の仕組みの導入や、厳格なアクセス制御が欠かせない。不正なURLがリアルタイム検出したり、Webコンテンツが不正なものかどうかを確認したりするためのツール利用も重要だ。異常に気付いたら、アクセスをブロックするなど、速やかに対処しなければならない。企業はフィッシング攻撃を想定した従業員向けトレーニングや、フィッシング対策の定期的なテストによって防御力を強化できる。