Last Updated on 2024-06-27 10:40 by 門倉 朋宏
サイバーセキュリティ研究者たちは、マルチファクタ認証(MFA)を回避する新たなフィッシングキット「Tycoon 2FA」がTelegram上で販売されていることを発見した。このキットは、Microsoft 365およびGmailのアカウントを狙ったフィッシング攻撃に使用され、攻撃者は中間者攻撃(AitM)技術を利用してセッションクッキーを盗み、MFAプロセスを回避する。
「Tycoon 2FA」は少なくとも昨年8月から活動しており、最近までにその隠蔽性と検出回避能力を高めるためのアップデートが行われた。このキットは、Telegramを通じて広く配布され、価格は10日間で120ドルから始まり、トップレベルドメイン(TLD)によっては最大320ドルまで上がる。
支払いは「Saad Tycoon Group」と呼ばれるビットコインウォレットを通じて行われ、このグループはTycoon 2FAの運営者および開発者であると考えられている。このフィッシングキットは、攻撃者のサーバーを使用してフィッシングページをホストし、被害者の入力を傍受して正規のサービスに中継し、MFAリクエストを促す。
Tycoon 2FAの最新バージョンは、そのステルス機能の向上により、セキュリティ製品によるキットのフィッシングページおよびインフラの検出率を下げ、脅威アクターにとって魅力的な選択肢となっている。また、その使いやすさと比較的低価格が、脅威アクターの間で人気を博している。
フィッシング攻撃の構築には6段階のプロセスがあり、最終的にはユーザーが認証を完了し、認証が成功すると、中間のサーバーがセッションクッキーをキャプチャし、攻撃者がMFAを回避してセッションを再生できるようにする。Sekoiaは、Tycoon 2FA活動を特定するための指標(IoC)のリストをGitHubページに投稿している。
【ニュース解説】
サイバーセキュリティの研究者たちは、マルチファクタ認証(MFA)を回避する新しいフィッシングキット「Tycoon 2FA」がTelegram上で販売されていることを発見しました。このキットは、Microsoft 365やGmailのアカウントを狙ったフィッシング攻撃に使用され、攻撃者は中間者攻撃(AitM)技術を利用してセッションクッキーを盗み、MFAプロセスを回避します。
「Tycoon 2FA」は昨年8月から活動しており、その隠蔽性と検出回避能力を高めるためのアップデートが最近までに行われました。このキットは、Telegramを通じて広く配布され、価格は10日間で120ドルから始まり、トップレベルドメイン(TLD)によっては最大320ドルまで上がります。
支払いは「Saad Tycoon Group」と呼ばれるビットコインウォレットを通じて行われ、このグループはTycoon 2FAの運営者および開発者であると考えられています。このフィッシングキットは、攻撃者のサーバーを使用してフィッシングページをホストし、被害者の入力を傍受して正規のサービスに中継し、MFAリクエストを促します。
Tycoon 2FAの最新バージョンは、そのステルス機能の向上により、セキュリティ製品によるキットのフィッシングページおよびインフラの検出率を下げ、脅威アクターにとって魅力的な選択肢となっています。また、その使いやすさと比較的低価格が、脅威アクターの間で人気を博しています。
フィッシング攻撃の構築には6段階のプロセスがあり、最終的にはユーザーが認証を完了し、認証が成功すると、中間のサーバーがセッションクッキーをキャプチャし、攻撃者がMFAを回避してセッションを再生できるようにします。Sekoiaは、Tycoon 2FA活動を特定するための指標(IoC)のリストをGitHubページに投稿しています。
このニュースは、MFAが提供するセキュリティの強化にもかかわらず、脅威アクターがますます巧妙な手法を用いてこれらの保護機能を回避しようとしていることを示しています。特に、AitM技術を利用した攻撃は、セッションクッキーを盗むことでMFAを無効化することができ、これにより攻撃者は被害者のアカウントにアクセスできるようになります。
このような攻撃の増加は、企業や個人がより高度なセキュリティ対策を講じることの重要性を強調しています。例えば、WebAuthn/FIDO2標準を実装するセキュリティキーの使用は、フィッシング攻撃に対してより強固な保護を提供します。また、定期的なセキュリティトレーニングと意識向上活動を通じて、ユーザーがフィッシング詐欺を見分ける能力を高めることも重要です。
長期的には、このような攻撃の増加は、認証技術の進化と、セキュリティ対策の継続的な更新と強化の必要性を示しています。企業や組織は、セキュリティ環境が常に変化していることを認識し、新たな脅威に対応するために柔軟かつ迅速に行動する必要があります。
“警告: 新フィッシングキット「Tycoon 2FA」がMFAを無力化、Telegramで販売中” への1件のコメント
この「Tycoon 2FA」の出現とその効果は、サイバーセキュリティの世界にとって新たな挑戦ですね。MFAは長らくログインプロセスのセキュリティを強化する信頼できる手段とみなされてきましたが、このようなフィッシングキットの登場により、その有効性が脅かされています。
特に、AitM技術を駆使してセッションクッキーを盗み出し、MFAプロセスを回避する手法は非常に巧妙です。これは、単にパスワードやMFAコードを盗むだけではなく、セッション自体を乗っ取ることで、さらに隠蔽性が高く、検出が困難な攻撃を可能にします。
この攻撃の増加は、セキュリティ対策の重要性を改めて教えてくれます。具体的には、フィッシング攻撃に対してより強固な防御を提供するWebAuthn/FIDO2などの認証技術の採用や、ユーザーのセキュリティ意識の向上が重要です。また、セキュリティキーの使用は、攻撃者がユーザーの認証情報を盗んだとしても、アカウントへのアクセスを防ぐのに効果的です。
しかし、これらの技術的な対策だけでなく、企業や組織はセキュリティトレーニングや意識向上活動を定期的に実施し、従業員が