スティーブン マサダ (Steven Masada)、マイクロソフト デジタル犯罪対策部門 (DCU) アシスタント ゼネラル カウンセル
※本ブログは、米国時間 2026 年 3 月 4 日に公開された ” Defending the gates: How a global coalition disrupted Tycoon 2FA, a major driver of initial access and large-scale online impersonation – Microsoft On the Issues ” の抄訳を基に掲載しています。
たった 1 通のメールが、すべての始まりでした。従業員が、日常的なサインイン要求に見えたリンクをクリックしました。その裏側では、攻撃者が認証情報を盗み取り、セキュリティ対策をすり抜け、信頼されたユーザーになりすまして、重要なシステムへのアクセスを獲得していました。別のケースでは、同様の侵入によって給与の支払いが遅延し、請求書の送付先が変更され、機密データが盗まれ、ネットワーク全体がロックされ、患者ケアが中断され、学校や重要インフラが抱える限られた予算にさらなる負担がかかりました。
これらの攻撃を支えていたのが Tycoon 2FA です。本日、マイクロソフト、ユーロポール、そして業界パートナーは、世界中で毎月 50 万を超える組織に数千万通もの不正メールを送り付けていたこのサービスを妨害するための協調的な対策を発表しました。
グローバルなフィッシング作戦の撲滅
少なくとも 2023 年以降に活動していた Tycoon 2FA は、数千人のサイバー犯罪者が実在するユーザーになりすまし、Microsoft 365、Outlook、Gmail などのメールやオンラインサービスのアカウントに不正アクセスすることを可能にしていました。従来のフィッシングキットとは異なり、Tycoon 2FA は多要素認証を含む追加のセキュリティ対策を突破するよう設計されており、保護されたアカウントであっても警告を発生させることなく、正規ユーザーとしてログインできるようにしていました。
米国ニューヨーク南部地区連邦地方裁判所の裁判所命令に基づき、またユーロポールの Cyber Intelligence Extension Programme(CIEP)との初の連携として、マイクロソフトは Tycoon 2FA の中核インフラを支えていた 330 の稼働中ドメインを押収しました。これには、管理用のコントロールパネルや不正なログインページが含まれます。CIEP の枠組みにより、公的機関と民間企業のパートナーが集結し、単なる情報共有から、国境を越えた協調的な行動へと移行することが可能となり、妨害の迅速化と被害拡大の抑制が実現しました。
このインフラを停止させることで、アカウント乗っ取りの主要な経路が遮断され、データ窃取、ランサムウェア、ビジネスメール詐欺、金融詐欺といった二次的な攻撃から、人々や組織を守ることにつながります。
Tycoon 2FA の規模と現実世界への影響
2025 年半ばまでに、Tycoon 2FA はマイクロソフトがブロックしたすべてのフィッシング試行のうち、約 62% を占めるようになり、単月で 3,000 万通を超えるメールが確認されました。これにより、Tycoon 2FA は世界最大級のフィッシング活動の 1 つとなりました。
強固な防御策が講じられていたにもかかわらず、このサービスは 2023 年以降、世界で推定 96,000 人のフィッシング被害者と関連付けられており、そのうち 55,000 人以上がマイクロソフトの顧客でした。
最も大きな影響を受けたのは、医療機関と教育機関でした。医療分野における世界的な脅威情報共有グループであり、本件の共同原告でもある HealthISAC のメンバー 100 以上が、実際にフィッシング被害に遭いました。ニューヨーク州だけでも、少なくとも 2 つの病院、6 つの公立学校、3 つの大学が Tycoon 2FA による侵入の試み、または侵入の成功を経験しています。これらのインシデントは、業務の混乱、リソースの転用、患者ケアの遅延といった、具体的で深刻な影響をもたらしました。
Tycoon 2FA がこれほど危険だった理由
Tycoon 2FA は、説得力のあるフィッシング用テンプレート、現実味のあるランディングページ、認証情報や認証コードをリアルタイムで取得する仕組みを、使いやすいパッケージとして統合し、急速に拡大しました。技術的な参入障壁を下げることで、高度な専門知識を持たない犯罪者でも、巧妙ななりすましキャンペーンを実行できるようにしていました。
フィッシングが成功するたびに、攻撃者は正規ユーザーと同等の信頼レベルで行動できるようになり、システム間を横断的に移動し、機密データへアクセスし、サインオン接続を悪用しても警告を発生させずに活動できました。Tycoon 2FA の具体的な仕組みについては、Microsoft Threat Intelligence の調査で、さらに詳しく解説されています。
この変化は、サイバー犯罪におけるより大きな潮流を反映しています。すなわち、インフラではなく ID が主要な標的になっているという点です。現在では、たった 1 つの侵害されたアカウントが、銀行システム、医療ポータル、職場のアプリケーション、ソーシャルメディアのアカウントにまでアクセスする扉を開いてしまいます。
なりすまし経済の内幕
Tycoon 2FA は、なりすましを請け負うエコシステム全体の中で、あたかも 1 つのビジネスのように運営されていました。主たる開発者である サード フリディ( Saad Fridi )は、パキスタンを拠点としているとみられており、マーケティング、決済、技術サポートを担当するパートナーと連携して活動していました。
サイバー犯罪者は通常、Tycoon 2FA を他の違法サービスと組み合わせて利用していました。Tycoon 2FA が認証情報やセッショントークンを取得する一方で、別のサービスが大量メール配信、マルウェア配布、ホスティング、アクセスの収益化を担っていました。例えば、2026 年 1 月に マイクロソフト によって妨害された RedVDS は、低価格の仮想コンピューターを提供しており、サイバー犯罪者はこれを Tycoon 2FA と組み合わせてフィッシングキャンペーンを展開していました。こうした複数のサービスが連動することで、ID を基盤とした攻撃のための相互接続されたエコシステムが形成されていました。そのうちの 1 つの要素を妨害するだけでも、サイバー犯罪エコノミー全体に連鎖的な影響を及ぼす可能性があります。
継続的な圧力が市場を変える
過去 18 か月間にわたり、マイクロソフトのデジタル犯罪対策部門(DCU)は、なりすましや初期アクセスを可能にする複数のサービスを標的としてきました。これには、Lumma Stealer、RaccoonO365、Fake ONNX(別名 Caffeine)、RedVDS に対する大規模な妨害作戦が含まれます。
広く使われているツールが妨害されると、攻撃者は適応を余儀なくされ、Tycoon 2FA のような代替手段へと移行することがよくあります。この代替のパターンは、継続的な圧力によって特定のサービスが支配的な地位を保ち続けることを防ぎつつ、サイバー犯罪のコストとリスクを着実に引き上げていることを示しています。
これらの取り組みにより、エジプトやナイジェリアでの逮捕、サービスの完全停止、インフラの喪失、さらには法執行機関の手が及ばない運営者に対する評判の失墜といった結果が生じています。RedVDS だけでも、2026 年 1 月以降にインフラの 95% 超を失い、大規模ななりすましキャンペーンやその他のオンライン詐欺を支援する能力が大きく低下しました。
圧力が強まるにつれて、多くの運営者はアクセス制御を厳格化し、クローズドなチャネルに引きこもるか、法的措置を避けるために完全に活動を停止しました。Tycoon 2FA のケースでは、マイクロソフトはサービスへのアクセスを購入することができず、運営者が調査担当者による接触を拒否したため、信頼できる仲介者が必要となりました。実際、Tycoon 2FA の運営者と、すでに逮捕された RaccoonO365 の開発者は互いに連絡を取り合っており、このエコシステムの相互依存性と、ある領域での妨害が別の領域の活動に影響を与える様子が浮き彫りになっています。
グローバルな脅威には、グローバルな対応が必要
サイバー犯罪は国境を越えて活動しており、効果的な対応も同様に国境を越える必要があります。Tycoon 2FA の妨害は複数の法域にまたがって実施され、特に自動化や AI によってサイバー犯罪がよりスケールしやすくなる中で、継続的かつ協調的な圧力が不可欠である理由を浮き彫りにしました。
マイクロソフトの脅威インテリジェンスは、多くのセキュリティ研究者とともに、Tycoon 2FA を ID ベースの攻撃における最も重大な脅威の 1 つとして特定しました。マイクロソフトのデジタル犯罪対策部門はユーロポールと協議を行い、ユーロポールもまた TrendAI から提供されたインテリジェンスに基づいて当該アクターを追跡していました。CIEP を通じて、ユーロポールは関係パートナーを招集し、行動を起こしました。マイクロソフトは業界パートナーと連携して協調的なインフラ妨害を進める一方、ラトビア、リトアニア、ポルトガル、ポーランド、スペイン、英国の法執行機関は、Tycoon 2FA に関連するインフラの押収や、その他の作戦上の措置を実施しました。
Proofpoint、Intel 471、eSentire を含む業界パートナーは、テレメトリ、脅威インテリジェンス、犯罪フォーラムに関する知見を通じて、可視性の拡大に貢献しました。Cloudflare は、米国の管轄外にあるインフラのテイクダウンを支援し、HealthISAC は医療機関への影響を定量化しました。SpyCloud は被害者分析に関する重要なデータを提供し、Resecurity は Tycoon 2FA へのアクセスを支援し、Coinbase は盗まれた資金の移動経路の追跡を支援しました。最後に、Shadowserver Foundation は、世界 200 以上のコンピューター緊急対応チームへの通知を支援し、さらなる被害の抑制に寄与しました。
この全体像を、単一の組織だけで描き出すことは不可能でした。
継続的な圧力を、共に
ID を基盤とするサイバー犯罪を阻止するには、個人、組織、政府のすべてにまたがる行動が必要です。多要素認証、予期しないメッセージへの注意深い確認、強固なセッション管理、そして協調的な脅威情報共有はいずれもリスク低減に寄与します。早期の法執行も重要であり、小さな侵入がシステム全体に及ぶ被害へと拡大するのを防ぎます。マイクロソフトは、Tycoon 2FA やこれまでの妨害活動から得た教訓を引き続き活用し、なりすましエコノミーを分断し、規模拡大を抑え、サイバー犯罪をより高リスクで、収益性の低いものにしていきます。
———————————
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由、背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。