Tycoon2FAがデバイスコードフィッシングに対応、Microsoft 365アカウントを標的に

Tycoon2FAがデバイスコードフィッシングに対応、Microsoft 365アカウントを標的に

BleepingComputer – May 17, 2026

フィッシングキット「Tycoon2FA」が、デバイスコードフィッシング攻撃にも対応するようになったとeSentireが報告。この新たな機能は、正規のメールセキュリティプラットフォーム「Trustifi」のクリック追跡用URLを悪用し、ユーザーのMicrosoft 365アカウントを乗っ取ろうとするものだという。

「フィッシング・アズ・ア・サービス（PhaaS）プラットフォームとして知られるTycoon2FAは、Microsoft 365やGmailのアカウントに設定された多要素認証（MFA）を回避するために使われる悪性ツール。2026年3月にはインフラを構成する一部のドメインが差し押さえられるなど、法執行機関によるテイクダウンの試みが実施されたものの、その後まもなく新たなインフラのもとで復活。翌4月には、すでに通常通りのオペレーションを再開していること、またさらなるテイクダウン試行に対抗するためにレジリエンスが強化されていることなどがAbnormal Securityにより確認されていた。

その後4月後半には、OAuth 2.0 デバイス承認付与フローを悪用してMicrosoft 365 垢運を侵害することを目指すデバイスコードフィッシングキャンペーンにおいて、Tycoon2FAが使用されているのをeSentireが観測。オペレーターらが同ツールキットの開発を続けている可能性が高いことが示されたという。

デバイスコードフィッシングとは、ターゲットユーザーが使用するサービスのプロバイダーにデバイス認証用コードをリクエストして、生成されたコードをターゲットユーザーに受け渡し、正規のログインページにそのコードを入力させるというもの。このコードは攻撃者が制御するデバイスでも受け取られるため、ユーザーが当該ページ上でMFA認証を完了させれば、攻撃者自身のデバイスを被害者のMicrosoft 365アカウントに登録することができ、結果として被害者のデータやサービスへ無制限にアクセスできるようになる。

デバイスコードフィッシングは2026年に急増しており、攻撃件数がこれまでの37倍以上に増えるなどサイバー犯罪者らに人気の手口。この人気ぶりをTycoon2FAのオペレーターらも認識しているとみられ、既存のPhaaSキットをOAuthデバイスコード承認付与フィッシングの配布フレームワークとして転用するようになっているとeSentireは報告している。

eSentireによれば、Tycoon2FAを利用したデバイスコードフィッシング攻撃はまず、ターゲットユーザーに、フィッシングメールを送付するところからスタート。インボイス関連の話題が使われたこのメールには、Trustifiのクリック追跡URLが含まれており、これをターゲットにクリックさせることでデバイス承認付与フローを開始させるという。

メール内のクリック追跡URLは、Trustifi、Cloudflare Workers、また複数のJavaScript層を通じたリダイレクトを行い、最終的に被害者を偽のマイクロソフト CAPTCHAページへ移動させる。

このページでは、攻撃者のバックエンドからMicrosoft OAuthデバイスコードが取得され、被害者にこのコードをコピーして「microsoft.com/devicelogin」へペーストするよう指示。その後、被害者が指示通りにコードをペーストし、MHAを済ませると、マイクロソフトは攻撃者のデバイスに対してOAuthアクセスおよびリフレッシュトークンを発行するという。

eSentireは、GitHub上でTycoon2FAに関連する最近のIoCを共有。また、不要な場合はOAuthデバイスコードフローを無効化する、OAuth同意の許可を制限する、サードパーティアプリに関しては管理者の承認を必須とする、などの対策を提示している。

Grafanaがデータ窃取・恐喝被害を公表、身代金は支払わない意向

The Hacker News – May 17, 2026

データ可視化ツールのGrafanaは5月17日、最近発生したとされるセキュリティ侵害について公表。権限を持たない者がGitHubトークンを取得・悪用し、GrafanaのGitHub環境へ不正にアクセスしてコードベースをダウンロードしたと伝えた。

Grafanaによれば、同社は不正な活動を発見次第すぐにフォレンジック分析を開始。漏洩源を突き止めたほか、侵害された認証情報を無効化し、追加の不正アクセス対策を実施したという。調査の結果顧客のデータや個人情報は不正なアクセスを受けておらず、顧客システムまたはオペレーションに対する影響はなかったとみられることがわかっている。

一方でGrafanaは、攻撃者が盗んだデータを公開しない代わりに身代金を支払うよう脅迫行為に及んでいることも明かした上で、支払いには応じないとの意向を示している。

同社はインシデントの発生時期や攻撃者がアクセスを維持していた期間などを明かしておらず、攻撃を認識したのは「最近」である旨だけを伝えている。また、侵害を特定の脅威アクター（グループ）に関連づけることもしていない。

しかしGrafanaがインシデントを公表する直前には、サイバー犯罪グループ「CoinbaseCartel」が同社への攻撃の犯行声明を出していたとの報道がある。

CoinbaseCartelは、2025年9月に登場したデータ恐喝グループ。悪名高いサイバー犯罪グループShinyHunters、Scattered Spider、LAPSUS$らのエコシステムから派生したグループであろうとの評価もなされている。CoinbaseCartelは従来のランサムウェアグループのようなデータの暗号化は行わず、窃取・恐喝のみに注力しており、これまでに同グループの攻撃被害に遭った組織の数は170ほどに上るとされる。