Tycoon 2FAフィッシングプラットフォームと従来型MFAの崩壊

Tycoon 2FAフィッシングキットの台頭は、すべての企業にとって世界的な警告サイレンとなるべきです。これはエリートハッカーのためのツールではありません。これは、企業が依存するMFAや認証アプリを誰でもブラウザさえあれば簡単に回避できる、すぐに使えるキットです。そして、すでに大規模に利用されています。

今年だけで64,000件以上の攻撃がすでに追跡されており、その多くがMicrosoft 365やGmailを標的にしています。なぜなら、これらのプラットフォームが企業への最も簡単で迅速な侵入口だからです。

スキル不要のフィッシング・アズ・ア・サービス

Tycoon 2FAの強みは、技術的スキルを不要にする点にあります。これは完全にパッケージ化され、洗練され、自動化されたフィッシング・アズ・ア・サービスです。コードを一行も書けないティーンエイジャーでも導入できます。キットはオペレーターにセットアップ手順を案内し、偽のログインページを提供し、リバースプロキシサーバーを立ち上げます。

面倒な作業はすべて自動で行います。攻撃者はただ何百人もの従業員にリンクを送信し、誰かが引っかかるのを待つだけです。

リアルタイムMFAリレーとセッション完全乗っ取り

被害者がクリックした瞬間、残りはTycoon 2FAが行います。リアルタイムでユーザー名とパスワードを傍受し、セッションクッキーを取得します。MFAのフローをMicrosoftやGoogleに直接プロキシします。被害者は単なるセキュリティチェックだと思っていますが、実際は攻撃者を認証しています。

これが恐ろしい部分です。すべてがピクセル単位で本物と見分けがつかないため、訓練されたユーザーでさえ引っかかります。ページは動的で、正規サーバーからライブレスポンスを取得します。

Microsoftがコード入力を求めればページは即座に更新され、Googleがプロンプトを送ればその通りに表示されます。見た目に違いは一切ありません。手がかりもありません。そして、Tycoonは設計上中間者攻撃であるため、従来型MFAや認証アプリで防ぐ方法はありません。

検知回避のための設計

さらに悪いことに、Tycoon 2FAは商用マルウェアに匹敵する検知回避レイヤーを備えています。Base64エンコード、LZ文字列圧縮、DOM消失、CryptoJS難読化、自動ボットフィルタリング、CAPTCHAチャレンジ、デバッガーチェックなどです。

このキットはスキャナーや研究者から自らを隠します。人間のターゲットが現れたときだけ本来の挙動を見せます。そして認証リレーが完了すると、攻撃者はMicrosoft 365やGmail内のフルセッションアクセスを得ます。

そこからSharePoint、OneDrive、メール、Teams、人事システム、財務システムなどへ横展開します。1回のフィッシング成功で全体が危険にさらされます。

従来型MFAはすでに崩壊している

これが従来型MFAが崩壊した理由です。導入するだけで、あなたの会社はハニーポットになります。SMSコード、プッシュ通知、TOTPアプリ。すべて同じ欠陥を抱えています。ユーザーの行動に依存しているのです。ユーザーが何かおかしいと気づくことに期待しています。

これらは攻撃者に傍受・転送・リプレイ可能な共有シークレットを提供します。Tycoon 2FAや同様のキットはまさにこれを悪用します。ユーザー自身を攻撃経路に変えるのです。パスキーでさえ、クラウドアカウントで同期された場合や、社会工学で悪用可能なリカバリ経路がある場合には脆弱性が証明されています。

攻撃者はこれを完全に理解しています。Scattered Spider、Octo Tempest、Storm 1167のような犯罪グループは、これらのキットを日常的に使っています。これは世界で最も急速に拡大している攻撃手法です。なぜなら、簡単で拡張性があり、技術的な知識が一切不要だからです。

企業はMFAや認証アプリを導入していますが、フィッシングキットに狙われた瞬間にこれらのシステムは崩壊することを知ることになります。真実は単純です。誰かが従業員を騙してコードを入力させたり、プロンプトを承認させたりできれば、攻撃者の勝ちです。そしてTycoonはまさにそれを実現します。

今後の道筋：フィッシング耐性MFA

しかし、前進する道はありますし、迅速かつ簡単に導入できます。FIDO2ハードウェアに基づいた生体認証によるフィッシング耐性IDです。近接性に基づき、ドメインに紐付けられ、中継やなりすましが不可能な認証。コード入力も、承認プロンプトも、傍受可能な共有シークレットもなく、ユーザーを騙して攻撃者に協力させる余地がありません。

偽のウェブサイトを自動的に拒否するシステム。物理デバイス上でライブの生体指紋認証を強制し、そのデバイスはログインするパソコンの近くにある必要があります。

これはすべてを変えます。なぜなら、ユーザーを意思決定のプロセスから排除するからです。偽のログインページを見抜くことに期待するのではなく、認証器自体が暗号的にオリジンをチェックします。

悪意あるプッシュリクエストを拒否してくれることに期待するのではなく、そもそも認証器はプッシュリクエストを受け取りません。人間の完璧さに頼るのではなく、ハードウェアでIDを検証します。

トークンモデル

これがToken RingおよびToken BioStickの背後にあるモデルです。設計上フィッシング耐性。生体認証必須。デフォルトで近接性ベース。暗号技術でドメインに紐付け。

盗まれるコードも、騙される承認もありません。詐欺師が悪用できるリカバリフローもありません。たとえユーザーが間違ったリンクをクリックしても、パスワードを渡しても（そもそもパスワードがあれば）、ITを装った社会エンジニアから電話が来ても、認証は単純に失敗します。なぜなら、ドメインが一致せず、指紋も存在しないからです。

Tycoon 2FAは壁にぶつかります。リレーは崩壊し、攻撃は即座に終息します。そして、これらのソリューションは安価で、すでに入手可能です。

これらのデバイスを導入した企業は重要なことを報告しています。従業員はこのパスワードレス・ワイヤレスソリューションに簡単に従います。認証は高速（2秒）で、覚えることも、入力することも、承認することもありません。ユーザー体験が向上し、セキュリティも格段に強化されます。

アイデンティティがオリジンチェックと近接要件を強制する物理的な生体認証デバイスに紐付けられると、フィッシングキットは無意味になります。

すべての企業が直面すべき現実

今こそ、すべての企業が受け入れるべき瞬間です。攻撃者は進化し、防御も進化しなければなりません。従来型MFAはこの脅威に耐えられません。認証アプリも同様です。パスキーも苦戦します。Tycoon 2FAは、ユーザーに何かを入力させたり承認させたりするシステムは、数秒で突破できることを証明しています。

ここで率直な真実を述べます。もしあなたのMFAが偽サイトに騙されるなら、それはすでに破られています。認証がリレー可能なら、必ずリレーされます。システムがユーザーの判断に依存しているなら、必ず失敗します。フィッシング耐性・近接性・ドメインロックされた生体認証ハードウェアIDこそが唯一の道です。