ハイブリッド2FAフィッシングキットが攻撃の検知を困難にしている

一部の2FAフィッシング攻撃は、これまで別々だったフィッシング・アズ・ア・サービス（PhaaS）キットであるSalty2FAとTycoon2FAを組み合わせたハイブリッド型へと進化し、著しく発見が困難になってきています。

Any.Runの研究者は、このハイブリッド型がすでにどちらか一方のキットだけに合わせた検知ルールを回避していると警告しています。以前はSalty2FAやTycoon2FAの活動を確実に検知していたアラートが、今では沈黙し、セキュリティチームはMFAバイパス攻撃に気付けなくなっています。

研究者らのコードレベルの分析により、ハイブリッド型のペイロードが確認されたとブログで述べています。「初期段階はSalty2FAと一致し、後半はTycoon2FAの実行チェーンをほぼそのまま再現していました」と記しています。「この重複は重要な変化を示しており、キット固有のルールを弱体化させ、帰属の特定を困難にし、脅威アクターが初期検知をすり抜ける余地を広げています。」

Salty2FAとTycoon2FAはいずれも、多段階の巧妙なロジックフローを用いてユーザー認証情報やセッションデータを取得し、多要素認証をバイパスするキットです。

Any.Runは、セキュリティ担当者に対し、静的なインジケータに頼らないよう助言しています。観測されたハイブリッド型の実行フローは、新種の挙動パターンやフォールバック動作を注意深く監視しなければ検知できません。

Tycoonが失速するSaltyを復活させた

研究者によると、このハイブリッド型フィッシングの出現は、純粋なSalty2FA活動の急減と時期を同じくしています。2025年11月には、Any.RunのサンドボックスへのSalty2FA関連の提出件数が週数百件からわずか数件（合計51件）に激減しました。

フレームワークが放棄されたように見えましたが、実際には元のインフラに問題が生じるとTycoon2FAにフォールバックする形に変化していました。「ある分析では、Salty2FAキットでは通常見られないASP.NET CDNの使用が確認されました」と研究者は述べています。「まるで誰かがスイッチを切り替えて、フレームワークのインフラの大部分をオフラインにしたかのようでした。」

しかし完全な停止ではなく、まもなくSalty2FAとTycoon2FAの両方で検知されるサンプルが現れ始めました。やがてハイブリッド型ペイロードは、コード難読化や「トランポリン」JavaScript、ドメインパターンなどSaltyの特徴から始まり、DGAベースのドメインやAdversary-in-the-Middle（AiTM）挙動などTycoon2FAの実行チェーンへと移行するようになりました。

研究者は、この重複がシグネチャベースの検知を困難にし、SaltyやTycoon単体に合わせたルールではハイブリッド型を完全に見逃す可能性があると述べています。

二重の攻撃に対する防御

防御側にとっては、帰属の特定がより曖昧になり、ハンティング仮説も弱まり、初期検知が一層困難になります。Any.Runは、ドメインやURLなど静的な侵害指標に頼るのはもはや不十分であり、今後は挙動パターンやフォールバック動作、ハイブリッド実行フローを監視してキャンペーン活動の兆候を探る必要があると警告しています。

「Saltyのインフラが利用できなくなった場合、同じキャンペーンが明確な切れ目なくTycoon2FAに切り替わる可能性があります」と研究者は指摘しています。「脅威ハンティングでは、そうした移行を見逃さないよう証拠を探すべきです。」

ハイブリッド2FAフィッシングキットの台頭により、防御側はより柔軟でモジュール化され、インフラ障害に対する耐性の高いキャンペーンへの備えが必要になると研究者は述べています。

最近までSalty2FAキャンペーンは活発に展開されており、Cloudflare Turnstileのような信頼されたプラットフォームに偽装するなど高度な手法でMFA防御を突破していました。Tycoon2FAとの統合は深刻な脅威であり、後者が最近のPhaaSインシデントのほぼ90%に関与しているとされることを考えると、その危険性は一層高まっています。