世界的な取り締まりにより、マルチファクター認証を回避し、大規模なサイバー攻撃を引き起こしたフィッシングプラットフォーム「Tycoon 2FA」が解体されました。コインベース、マイクロソフト、ユーロポールが協力し、広範な資格情報窃盗の背後にあるインフラを妨害する大規模な取り組みを展開しています。
技術企業と法執行機関の国際的な連携は、サイバー犯罪に対処するために拡大しています。暗号資産取引所コインベース(NASDAQ:COIN)は3月4日に、マイクロソフト、ユーロポール、業界パートナーと協力してTycoon 2FAを妨害したと発表しました。同日、ユーロポールはこのフィッシングプラットフォームを標的とした世界規模の作戦について詳細を述べました。
コインベースは次のように述べています:
「私たちはマイクロソフト、ユーロポール、その他の業界パートナーと協力し、資格情報を盗み、MFAを回避するためにセッショントークンを捕捉するフィッシング・アズ・ア・サービスプラットフォームであるTycoon 2FA(Tycoon)を妨害しました。」
MFA(多要素認証)は、ユーザーが二つ以上の要素を用いて本人確認を行うセキュリティ手法です。例えば、パスワードとワンタイムコード、認証アプリの承認、またはハードウェアセキュリティキーなどが用いられます。ユーロポールの欧州サイバー犯罪センター(EC3)は、国際的な取り組みを調整し、民間の分析官や捜査官が国境を越えたサイバー犯罪事件を共有できるサイバーインテリジェンス拡張プログラムを通じて情報共有を促進しました。
少なくとも2023年8月から活動していたTycoon 2FAは、サブスクリプション型のツールキットとして機能し、サイバー犯罪者がライブの認証セッションを傍受し、多要素認証の保護を回避できるようにしていました。捜査官は、このプラットフォームが毎月数千万件のフィッシングメールを生成し、世界中の学校、病院、公共機関を含む約10万の組織に不正アクセスを可能にしていたことを突き止めました。
「2025年中頃までに、Tycoon 2FAはマイクロソフトによってブロックされた全てのフィッシング試行の約62%を占めていた」と指摘し、ユーロポールは次のように詳述しました:
「この妨害の一環として、フィッシングページやコントロールパネルなどの犯罪サービスのコアインフラを構成する330のドメインが停止されました。」
この技術的な妨害には、マイクロソフトや複数の民間企業が関与し、ラトビア、リトアニア、ポルトガル、ポーランド、スペイン、イギリスの法執行機関がユーロポールを通じて連携した押収と執行措置が含まれます。調査に協力した他の組織には、Cloudflare、Intel471、Proofpoint、Shadowserver Foundation、Spycloud、Trend Microなどがあります。捜査官はまた、プラットフォームの資金調達やインフラに関連する暗号通貨の流れも追跡しました。
コインベースは強調しています:「このような妨害は、継続的に行われることで最も効果的です。私たちはマイクロソフト、法執行機関、業界の仲間と協力し続け、運営者を特定し、これらのサービスの運営コストを引き上げ、暗号資産がサイバー犯罪の資金源として使われるのを防ぎます。」
デジタルプラットフォームを保護し、サイバー犯罪リスクを低減するために、技術企業、暗号資産企業、法執行機関の連携が強化されていることを示しています。
フィッシングツールキットはライブのログインセッションを傍受し、認証トークンを捕捉することで、多要素認証を回避できるようにしていました。
コインベースはマイクロソフト、ユーロポール、セキュリティ企業と協力し、インフラの追跡、暗号資産の支払いフローの分析、フィッシングネットワークの妨害を行いました。
当局や技術企業は、国境を越えて活動する高度なサイバー犯罪組織と戦うために、情報やリソースを共有しています。
