Tycoon 2FAとレガシーMFAの崩壊

Tycoon 2FAフィッシングキットの台頭は、すべての企業にとって世界的な警告サイレンとなるべきです。これはエリートハッカーのためのツールではありません。これは、誰でもブラウザさえあれば企業が依存しているMFAや認証アプリを回避できるターンキーキットです。そして、すでに大規模に使用されています。

今年だけで既に64,000件以上の攻撃が追跡されており、多くがMicrosoft 365やGmailを標的にしています。なぜなら、これらのプラットフォームが企業への最も簡単で迅速な侵入口だからです。

スキル不要のフィッシング・アズ・ア・サービス

Tycoon 2FAの強みは、技術的スキルを不要にしたことです。これは完全にパッケージ化され、洗練され、自動化されたフィッシング・アズ・ア・サービスです。コードを一行も書けないティーンエイジャーでも展開できます。キットはオペレーターにセットアップ手順を案内し、偽のログインページを提供し、リバースプロキシサーバーを立ち上げます。

面倒な作業はすべて自動で行います。攻撃者は単に従業員数百人にリンクを送信し、誰かが引っかかるのを待つだけです。

リアルタイムMFAリレーと完全なセッション乗っ取り

被害者がクリックした瞬間、Tycoon 2FAが残りを行います。リアルタイムでユーザー名とパスワードを傍受し、セッションクッキーを取得します。MFAフローをMicrosoftやGoogleに直接プロキシします。被害者は単にセキュリティチェックを通過していると思っていますが、実際には攻撃者を認証しています。

これが恐ろしい部分です。すべてがピクセル単位で本物と見分けがつかないため、訓練されたユーザーでさえ騙されます。ページは動的で、正規サーバーからライブレスポンスを取得しています。

Microsoftがコード入力を求めれば、ページは即座に更新されます。Googleがプロンプトを送れば、期待通りに表示されます。見た目の違いは一切ありません。手がかりもありません。そして、Tycoonは設計上マン・イン・ザ・ミドルであるため、レガシーMFAや認証アプリでは防げません。

検知回避のための設計

さらに悪いことに、Tycoon 2FAは商用マルウェアに匹敵する検知回避レイヤーを備えています。Base64エンコーディング、LZ文字列圧縮、DOM消失、CryptoJS難読化、自動ボットフィルタリング、CAPTCHAチャレンジ、デバッガーチェックなどです。

このキットはスキャナーや研究者から自身を隠します。人間のターゲットが現れたときだけ本当の挙動を見せます。そして認証リレーが完了すると、攻撃者はMicrosoft 365やGmail内部への完全なセッションアクセスを得ます。

そこからSharePoint、OneDrive、メール、Teams、人事システム、財務システムへと横展開します。1回のフィッシング成功で全体が侵害されます。

レガシーMFAはすでに崩壊している

これがレガシーMFAが崩壊した理由です。導入するだけで、あなたの会社はハニーポットになります。SMSコード、プッシュ通知、TOTPアプリ――すべて同じ欠陥を抱えています。ユーザーの行動に依存しているのです。ユーザーが異常に気づくことを期待しているのです。

攻撃者に傍受・転送・再利用されうる共有シークレットを提供しています。Tycoon 2FAや同様のキットはまさにそこを突いてきます。ユーザー自身を攻撃ベクターに変えるのです。パスキーでさえ、クラウドアカウントで同期された場合や、ソーシャルエンジニアリングで悪用可能なリカバリーパスが存在する場合、脆弱であることが証明されています。

攻撃者はこれを完全に理解しています。Scattered Spider、Octo Tempest、Storm 1167のような犯罪グループは、これらのキットを日常的に使用しています。これは世界で最も急速に拡大している攻撃手法です。なぜなら、簡単で、スケーラブルで、技術的な知識が不要だからです。

企業はMFAや認証アプリを導入していますが、フィッシングキットが標的にした瞬間にこれらのシステムは崩壊することに気づきます。真実はシンプルです。従業員がコードを入力したり、プロンプトを承認するよう騙されれば、攻撃者の勝ちです。そしてTycoonはまさにそれを実現します。

今後の道筋：フィッシング耐性MFA

しかし、前進する道はあり、それは迅速かつ簡単に導入できます。FIDO2ハードウェアを基盤とした生体認証フィッシング耐性IDです。近接性に基づき、ドメインに紐づき、中継やなりすましが不可能な認証。入力するコードも、承認するプロンプトも、傍受される共有シークレットもなく、ユーザーを騙して攻撃者に協力させる余地もありません。

偽サイトを自動で拒否するシステム。ログインするPCの近くにある物理デバイスでライブの生体認証指紋マッチを強制するシステム。

これにより、ユーザーを意思決定の流れから排除できます。偽のログインページを見抜くことを期待する代わりに、認証器自体が暗号的にオリジンをチェックします。

悪意のあるプッシュリクエストを拒否することを期待する代わりに、認証器はそもそもプッシュリクエストを受け取りません。人に完璧さを求めるのではなく、システムがハードウェアで本人確認を行います。

トークンモデル

これがToken RingおよびToken BioStickの背後にあるモデルです。設計上フィッシング耐性。生体認証必須。デフォルトで近接性に基づき、暗号的にドメインに紐づきます。

盗まれるコードはありません。騙される承認もありません。詐欺師が悪用できるリカバリーフローもありません。たとえユーザーが間違ったリンクをクリックしても、たとえパスワードを渡しても（そもそもパスワードがある場合）、たとえITを装ったソーシャルエンジニアから電話が来ても、認証は単に失敗します。なぜならドメインが一致せず、指紋も存在しないからです。

Tycoon 2FAは壁にぶつかります。リレーは途切れ、攻撃は即座に失敗します。そして、これらのソリューションは安価で、すでに利用可能です。

これらのデバイスを導入している企業は重要なことを報告しています。従業員はこのパスワードレス・ワイヤレスソリューションに容易に従います。認証は高速（2秒）で、覚えることも、入力することも、承認することもありません。ユーザー体験が向上し、セキュリティ体制も大幅に強化されます。

本人確認がオリジンチェックと近接要件を強制する物理的生体認証デバイスに紐づくと、フィッシングキットは無意味になります。

すべての企業が直面すべき現実

今こそ、すべての企業が受け入れるべき瞬間です。攻撃者は進化し、防御側も進化しなければなりません。レガシーMFAはこの脅威に耐えられません。認証アプリも同様です。パスキーも苦戦します。Tycoon 2FAは、ユーザーに何かを入力・承認させるシステムは数秒で突破できることを証明しています。

ここに率直な真実があります。もしあなたのMFAが偽サイトに騙されるなら、それはすでに侵害されています。あなたの認証がリレー可能なら、必ずリレーされます。あなたのシステムがユーザーの判断に依存しているなら、必ず失敗します。フィッシング耐性・近接性・ドメインロックされた生体認証ハードウェアベースのIDこそが唯一の道です。