Barracuda Threat Spotlight(バラクーダの注目する脅威):Tycoon 2FAは決して消えたわけではなく、あらゆる場所に拡散している
フィッシングをサービスとして提供するPhaaS(Phishing-as-a-Service)が摘発後も生き残る理由と、サイバーレジリエンスへの影響
重要ポイント:
- 2026年3月にTycoon 2FAに対する摘発作戦が実施され、このPhaaSブランドのインフラは大きな打撃を受け、攻撃キャンペーンの可視性も低下しました。
- しかし、Tycoon 2FAのツール、手法、機能そのものは依然として存在しており、PhaaSプラットフォームやアフィリエイト間で再配布・再利用されています。
- そのため、セキュリティチームは特定のキットの検出に依存するのではなく、脅威モデル全体に焦点を当てる必要があります。
1年前、Tycoon 2FAはバラクーダの脅威アナリストが観測したPhaaS活動の89%を占めていました。しかし2026年3月、状況は一変します。欧州刑事警察機構(Europol)をはじめとする複数の組織が連携し、Tycoon 2FAの攻撃インフラを妨害・無力化するための作戦を実施しました。この作戦では300以上のドメインが押収され、MFAを回避する大規模なフィッシングキャンペーンを支えていたバックエンドサービスが解体されました。
数週間後、一部のセキュリティ研究者は、Tycoon 2FAの活動がすでに摘発前の水準に戻っていると報告しました。
しかし、バラクーダの脅威インテリジェンスが示す状況から、最初の摘発後に何が起きたのかについて、より微妙で複雑な実態が見えてきました。これは、攻撃者のツールや行動を監視・検知しようとするセキュリティチームにとって重要な示唆を含んでいます。
本記事では、バラクーダのデータと分析に基づき、Tycoon 2FAの摘発後に何が変化し、何が変わらなかったのかを検証します。
Tycoon 2FAの台頭と衰退
Tycoon 2FAのフィッシングモデルは、AiTM(adversary-in-‑the-‑middle)の手法に基づいて構築されており、攻撃者がユーザー名やパスワードを傍受し、さらに有効なセッションクッキーを盗むことで、多要素認証(MFA)を回避できる仕組みでした。このサービスはサブスクリプション形式で提供されており、導入にはほとんど、あるいは全く専門的なスキルを必要としませんでした。
バラクーダのデータによれば、2026年3月の摘発は確かにTycoon 2FAに一定の混乱をもたらしましたが、その影響は主にTycoonのブランド力や露出、そしてTycoonに紐づくホスティングやドメインパターンの利用減少にとどまっています。
一方で、Tycoonの中核となるツールや手法自体は依然として生き続けています。それらは他の競合プラットフォームへ移行したり、再分配されたり、多様化したり、あるいは単にそのまま残されていたりします。
摘発後のツール、手法、顧客の再分配
摘発後、Tycoon 2FAによって空白となった市場シェアを奪うため、他のフィッシングキットが一斉に参入しました。
バラクーダの検知および分析データによると、既存のプラットフォームであるMamba 2FAやEvilProxyに加え、Sneaky 2FAやWhisper 2FAといった新興勢力によるキャンペーン活動が増加しています。また分析の結果、これらのキットは機能やインフラの成熟度をさらに高めており、多くの場合、Tycoon 2FAで使用されていたツールを活用していることも明らかになっています。
Tycoon 2FAが生き残っている理由
1. すべてが無力化されたわけではない
Tycoon 2FAブランドのサービス自体は摘発によって大きな打撃を受けましたが、その基盤となるエコシステムは依然として健在です。
Tycoon 2FAは独立した多数のアフィリエイトによって利用されていました。そのため、個々の攻撃者によって複製または改変された攻撃コードの亜種が現在も流通し続けていますまた、独自にホスティングされた環境は今も稼働しており、断片的で小規模なキャンペーンも継続しています。
例えば、バラクーダは最近、Tycoonの特有の機能を利用した「デバイスコード」フィッシングキャンペーンを検知しました。コードの類似点として、Tycoon特有のモチベーション型コメントが確認されており、このインシデントでは、すべてのコメントが「success.」という単語で始まっていました。
さらにこのキャンペーンでは、Tycoon 2FA特有の解析回避、デバッグ対策、リダイレクト機能も確認されています。総合的に見て、脅威アナリストはこの事例が過去に観測されたTycoon 2FA攻撃と約99%一致すると結論付けています(以下参照)。
2.攻撃者によるフィッシングコードの再利用と転用
前述のとおり、Tycoon 2FAのアフィリエイトはコードを改変している可能性があります。実際、PhaaSツールセットは、多くの点でオープンソース開発環境のような様相を強めています。コードは再利用され、改変され、再展開され、機能はあるフィッシングキットから別のキットへと移植されていきます。このような状況では、特定のキットや実装に依存した検知ルールは急速に陳腐化するため、セキュリティチームはより広範な脅威モデルに基づく検知アプローチを取る必要があります。
3.残存するインフラ
フィッシング活動は、必ずしも明確に終息するわけではありません。例えば、攻撃用ドメインは有効期限が切れるまで存続し続け、バックアップ用ホスティングは即時の押収を免れることがあります。また、検知のしきい値を下回る可視性の低いフィッシングキャンペーンは、発見されないまま継続することがあります。
こうした「残存キャンペーン」は、初期の摘発や対応を静かにすり抜け、長期間にわたって存続する可能性があります。
4.フィッシングフレームワークに冗長性が組み込まれている
現代のフィッシングフレームワークには、妨害や停止からの復旧を支援する仕組みが組み込まれていることが多くあります。
例えば、進行中のキャンペーンの運用継続を確保するためのフェイルオーバーインフラ、妨害後に迅速に再展開するためのワークフロー、さらには他のフィッシングキットとの互換性などが挙げられます。
5.持続するアクセス
インフラが無効化されても、被害者へのアクセスが自動的に失われるわけではありません。盗まれたセッションクッキーは引き続き有効な場合があります。OAuthの悪用によりクラウド環境へのアクセスが長期間維持される可能性があり、フィッシングキャンペーン終了後も組織が侵害されたままである場合もあります。
PhaaSは経済エコシステムである
Tycoon 2FAの摘発後の状況は、復旧ではなく、かつて支配的だったキットの再分配と残存の痕跡を示しています。Tycoon 2FAが普及させた手法は、現在ではより広範なプラットフォームに組み込まれています。
これは摘発作戦の失敗を意味するものではありません。むしろ、成熟しつつある地下経済に対して妨害が加えられた際に何が起きるのか、そしてセキュリティ防御が個別のプレイヤーではなく、より広い視点で捉えられるべきであることを示しています。
- 個別のキットに依存した検知手法は急速に陳腐化します。
- 攻撃パターンは消えるのではなく、別の形へと移行します。
- 新しいツールは、実証済みの手法を継承し、さらに洗練させていきます。
Tycoon 2FAの摘発は、エコシステムの多様化を加速させました。そのため、防御戦略は、アイデンティティベースの攻撃モデル、セッション悪用、そして攻撃者の経済構造に焦点を当てる必要があります。Tycoon 2FAというブランドは衰退しましたが、同キットが普及させた手法は、以前よりも広範に拡散しています。
Barracuda Researchの実用的なインテリジェンス
原文はこちら:
Threat Spotlight: Tycoon 2FA didn’t die — it’s scattered everywhere
Apr. 16, 2026 Deerendra Prasad
https://blog.barracuda.com/2026/04/16/threat-spotlight-tycoon-2fa-scattered-everywhere
