Tycoon 2FA AiTM Kit Bypasses MFA on Entra ID and Google Workspace Accounts
2026/05/27 CyberSecurityNews — 強力なフィッシング・キット “Tycoon 2FA” は、2023年8月に初めて確認されて以来、サイバーセキュリティ業界で大きな注目を集め続けている。Phishing-as-a-Service (PhaaS) として機能する Tycoon 2FA をレンタルする攻撃者は、ゼロからインフラを構築することなくキャンペーンを展開できる
脅威アクターたちの主な目的は、被害者と正規ログインページの間に密かに介在し、Microsoft 365/Google Workspace アカウントから認証済みセッション・トークンを窃取することにある。
Tycoon 2FA が特に危険とされる理由は、多要素認証 (MFA) を完全に回避できる点にある。その攻撃試行の総量は、Microsoft がブロックしたフィッシング攻撃の約 62% を占め、毎月 50万以上の組織を標的としていた。Microsoft の脅威インテリジェンス・チームが、このキャンペーンを Storm-1747 という脅威アクターに帰属させている一方で、このキットは、ANY.RUN のマルウェア・トレンドトラッカーで上位に位置している。
Elastic Security Labs のアナリストは、このキットの動作メカニズムを解析し、Microsoft Entra ID/Google Workspace 環境における挙動を詳細に文書化している。Elastic が Cyber Security News (CSN) に共有したレポートによると、このキットは、WebSocket ベースのセッション・リレーとデバイスコード許可の悪用という 2 つの構造的バリアントを介して、異なるクラウド ID プラットフォームに対する攻撃を実行している。
この分析により浮き彫りになったのは、現代のフィッシング環境の深層へと、この脅威が浸透している実態である。
2026年3月には、Microsoft/Europol により 300 以上のドメイン押収を伴う大規模テイクダウンが実施されたが、このキャンペーンを長期的に阻止することはできなかった。eSentire が 2026年4月下旬に報告したように、この攻撃者は数週間以内にインフラを再構築して活動を再開し、その手法を OAuth デバイスコード・フィッシングと融合させた。この経緯が示すのは、キットを回復させたグループの高度な組織力と豊富なリソースである。
Tycoon 2FA の高度な技術力と規模は、現在進行形で活動しているフィッシング脅威の中でも最も深刻なものに属し、従来型 MFA だけに依存している組織を危険にさらす。このキットは、MFA による制御を回避するために、セッション・トークンを窃取する。したがって、このキットの動作を理解することが、耐性のある防御体制を構築するための第一歩となる。
.webp)
Tycoon 2FA による MFA バイパス手法
Tycoon 2FA は、単純な認証情報の窃取のみを目的とする代わりに、リバース・プロキシとして機能することで、Microsoft/Google の正規ログインページと被害者の間で、通信をリアルタイムで中継する。これにより、被害者は通常通り MFA を完了するが、そこで発行されるセッション・トークンがキットにより傍受される。
この攻撃は、悪意のリンク/QR コードが埋め込まれた、PDF/SVG/HTML/PowerPoint ファイルを添付するフィッシング・メールの配信から開始される。
そのリンクに騙された被害者は、多層的なリダイレクト・チェーンを経由した後に、正規サービスのログインページを精巧に複製したページに到達する。多くの場合、このページには、実サービスから直接取得した正規のブランド要素が組み込まれている。
被害者が MFA を完了すると、このキットにより窃取されたセッション・クッキーが攻撃者に受け渡されるため、それ以降の攻撃者は、認証を必要とすることなく、標的アカウントへのアクセスが可能となる。
回避および侵害後の永続化
Tycoon 2FA は、インシデント・レスポンスに対抗して生き延びるように設計されている。Entra ID に登録された不正デバイスの Primary Refresh Token (PRT) は、防御側が侵害済みセッションを無効化した後も、有効な状態を維持する。そのため、セッション無効化とパスワード・リセットという従来の対応策だけでは、完全な封じ込めは不可能である。
.webp)
さらに、このキットは解析を回避するために、高度な対策を実装している。そこに含まれるのは、クラウドやホスティングの IP フィルタリング/開発者ツールのブロック/自動化フレームワーク検知/実行後の自己削除機能などである。それに加えて、それぞれの被害者には、セッション単位の値で暗号化された、ユニークなペイロードが配布されるため、シグネチャ・ベースの検知は極めて困難である。
Elastic が防御策として推奨するのは、AiTM 型セッション窃取に対して有効性を持つ、数少ない手段の FIDO2 セキュリティ・キーや、Passkeys などのフィッシング耐性 MFA の導入である。その他にも、Conditional Access によるデバイス準拠の強制/不要なデバイス・コード・フローのブロック/トークンを特定デバイスへバインドするトークン保護の有効化なども必要だとしている。
その上で、完全な封じ込めを達成するためには、セッション無効化前に登録済みの悪意のデバイスを特定して削除し、デバイスと PRT による永続化チェーンを確実に断ち切る必要がある。
Indicators of Compromise (IoCs)
Elastic Security Labs による Tycoon 2FA キャンペーン分析で、以下の指標が確認されている。
| Type | Indicator | Description |
|---|---|---|
| Client App ID | 29d9ed98-a469-4536-ade2-f981bc1d605e | Microsoft Authentication Broker client ID used by the kit relay for device-code-grant abuse and PRT minting |
| OAuth Client ID | 77185425430.apps.googleusercontent.com | Google Chrome OAuth client targeted in every Google Workspace relay session |
| OAuth Scope | https://www.google.com/accounts/OAuthLogin | Chrome’s internal bootstrap sign-in scope used by the kit to initiate Google relay sessions |
| User-Agent | node, axios/1.15.2, node-fetch/1.0, undici | Node.js HTTP client user agents used by the Tier 1 kit relay against Microsoft Entra ID |
| API Domain | api.ipapi.is | IP geolocation/ASN lookup service called by the kit to filter out researcher and cloud provider traffic |
| ASN | Alibaba Cloud (and similar cheap-VPS ASNs) | Tier 1 kit relay infrastructure used for automated token acquisition and renewal |
| ASN | Clouvider, Host Telecom | Cheap hosting ASNs used by kit relay IPs in Google Workspace campaigns |
| Socket.IO Event | recieveid | Consistent kit fingerprint (note deliberate typo) used in the WebSocket C2 relay channel |
| Crypto Key | 1234567890123456 | Hardcoded AES-CBC key found in kit JavaScript for encrypting collected credentials |
| Library | CryptoJS 4.2.0 | JavaScript library bundled in the Google-targeting kit variant for credential encryption |
| Socket.IO Version | Socket.IO 4.6.0 | WebSocket C2 library version used in the Google-targeting kit variant |
| Entra Error Code | 53003 | Error returned when device code flow is blocked via Conditional Access, confirming successful policy enforcement |
注:IP アドレスおよびドメインは、誤解決やハイパーリンク化を防止するため、意図的にデファング (例:[.]) されている。再ファングは MISP/VirusTotal/SIEM などの制御された脅威インテリジェンス・プラットフォーム内でのみ実施する必要がある。
訳者後書:Tycoon 2FA のような脅威が深刻化している主な原因は、正規のログイン・プロセスにリアルタイムで介在するリバース・プロキシの機能にあります。これにより、従来の多要素認証 (MFA) で発行される使い捨てコードなどを入力しても、その瞬間に認証済みのセッション情報が盗まれてしまいます。また、単に情報を盗むだけではなく、不正なデバイスを登録して有効期限の長いトークンを取得する仕組みを持っているため、一度侵入を許すとパスワード変更だけでは追い出せない点も非常に厄介です。よろしければ、Tycoon 2FA での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.