国際的な法執行機関による**Tycoon2FA**フィッシングプラットフォームの妨害作戦が3月に行われたにもかかわらず、悪意のある活動は新しいインフラストラクチャ上で再構築され、すぐに通常の活動レベルに戻りました。 今月初め、**Abnormal Security**は、**Tycoon2FA**が通常の運用に復帰し、さらには新しい難読化レイヤーを追加して、新たな妨害の試みに対する耐性を強化したことを確認しました。 4月下旬、**Tycoon2FA**は、OAuth 2.0デバイス認可グラントフローを悪用して**Microsoft 365**アカウントを侵害するキャンペーンで観測されており、オペレーターがキットの開発を続けていることを示しています。 デバイスコードフィッシングは、攻撃者がターゲットサービスプロバイダーにデバイス認可リクエストを送信し、生成されたコードを被害者に転送して、被害者を正規のサービスログインページに入力させるように騙すタイプの攻撃です。 これにより、攻撃者は被害者の**Microsoft 365**アカウントに不正なデバイスを登録することができ、メール、カレンダー、クラウドファイルストレージを含む被害者のデータやサービスへの無制限のアクセス権を得ることができます。 **Push Security**は最近、この種の攻撃が今年に入って大幅に増加していると警告しており、多数のフィッシング・アズ・ア・サービス（PhaaS）プラットフォームやプライベートキットによって支えられています。**Proofpoint**による最近のレポートも、この戦術の使用における同様の急増を記録しています。 ### Tycoon2FAがデバイスコードフィッシングを追加 マネージド検出および応答企業である**eSentire**による新しい調査によると、**Tycoon2FA**はデバイスコードフィッシングがサイバー犯罪者の間で非常に人気になっていることを確認しています。 「攻撃は、被害者がルアーメール内の**Trustifi**クリック追跡URLをクリックするところから始まり、被害者が**Microsoft**の正規のデバイスログインフローであるmicrosoft.com/deviceloginを通じて、攻撃者が制御するデバイスにOAuthトークンを無意識に付与することで完了します」と**eSentire**は説明しています。 「これら2つのエンドポイントを接続するのは4層のブラウザ内配信チェーンであり、その**Tycoon 2FA**のトレードクラフトは、2025年4月に文書化されたクレデンシャルリレーバリアントTRUや、2026年4月に文書化されたテイクダウン後のバリアントからほとんど変更されていません。」 **Trustifi**は、**Microsoft**や**Google**のサービスを含むさまざまなメールサービスに統合されたツールの範囲を提供する正規のメールセキュリティプラットフォームです。しかし、**eSentire**は攻撃者がどのように**Trustifi**を使用するようになったのかを知りません。 研究者によると、この攻撃は、**Trustifi**トラッキングURLを含む請求書をテーマにしたフィッシングメールを使用しており、**Trustifi**、**Cloudflare Workers**、およびいくつかの難読化されたJavaScriptレイヤーを経由してリダイレクトされ、被害者を偽の**Microsoft** CAPTCHAページに着陸させます。 フィッシングページは、攻撃者のバックエンドから**Microsoft** OAuthデバイスコードを取得し、被害者にそれをコピーして「microsoft.com/devicelogin」に貼り付けるように指示します。その後、被害者は自身の側で多要素認証（MFA）を完了します。 このステップの後、**Microsoft**は攻撃者が制御するデバイスにOAuthアクセスおよびリフレッシュトークンを発行します。  *出典: eSentire* **Tycoon2FA**フィッシングキットには、研究者や自動スキャンに対する広範な保護機能が含まれており、Selenium、Puppeteer、Playwright、Burp Suiteを検出し、セキュリティベンダー、VPN、サンドボックス、AIクローラー、クラウドプロバイダーをブロックし、デバッガタイミングトラップを使用しています。 分析環境を示唆するデバイスからのリクエストは、正規の**Microsoft**ページに自動的にリダイレクトされると、**eSentire**は述べています。 研究者によると、キットのブロックリストには現在230のベンダー名が含まれており、常に更新されています。 **eSentire**は、必要ない場合はOAuthデバイスコードフローを無効にすること、OAuth同意権限を制限すること、サードパーティ製アプリケーションの管理者承認を要求すること、継続的アクセス評価（CAE）を有効にすること、および準拠したデバイスアクセスポリシーを強制することを推奨しています。 さらに、研究者は、デバイスコード認証、**Microsoft**認証ブローカーの使用、およびNode.jsユーザーエージェントに関するEntraログを監視することを推奨しています。 **eSentire**は、最新の**Tycoon2FA**攻撃に対する[侵害の兆候（IoCs）](http://github.com/eSentire/iocs/blob/main/Tycoon2FA/Tycoon2fa-iocs-03-23-2026.txt)のセットを公開し、防御者が環境を保護するのに役立てています。