2026年3月、Microsoft・Europol・Cloudflareらの国際連携が、MFAを突き破るフィッシングサービス「Tycoon 2FA」の基盤を壊滅させました。64,000件以上の攻撃を可能にしたインフラとその崩壊の全貌を解説します。
「多要素認証を設定していれば安全」——その常識が通用しない時代が来ています。 2026年3月4日、Microsoft・Europol・Cloudflareを中心とする国際連合が、MFA(多要素認証)を意のままに突き破るフィッシングサービス「Tycoon 2FA」の壊滅作戦を実行しました。
330のドメインが押収され、6カ国の法執行機関が一斉に動いたこの作戦——なぜここまでの規模の対応が必要だったのでしょうか。
Tycoon 2FAとは何だったのか?
Tycoon 2FAは2023年から運営されていた「フィッシング・アズ・ア・サービス(PhaaS)」プラットフォームです。技術力のない犯罪者でも月額料金を払えばプロ品質のフィッシング攻撃を実行できる「犯罪のクラウドサービス」でした。
その規模は驚異的です:
- Microsoft 365・Gmail・Outlook を標的にした毎月5,000万通以上のフィッシングメールを500,000以上の組織に配信
- 2025年中頃には、Microsoftがブロックするフィッシング試行の**62%**がTycoon 2FAによるもの
- 摘発までに確認された攻撃件数:64,000件以上
しかし最も危険だったのは規模ではなく、MFAを突き破る能力でした。
MFAはなぜ突破されるのか?
多要素認証はフィッシングに対する強力な防御です。パスワードが盗まれても、スマートフォンの確認コードがなければログインできません。しかし Tycoon 2FA は「AiTM(Adversary-in-the-Middle)攻撃」という手法でこれを無力化しました。
AiTMの仕組み
通常のログイン:
ユーザー → [MFA認証] → Microsoft 365
Tycoon 2FA のAiTM攻撃:
ユーザー → [偽のログインページ]
↕ リアルタイムで中継
[本物のMicrosoft 365]- ユーザーが偽のMicrosoft 365ログインページを開く
- ユーザーがパスワードとMFAコードを入力する
- Tycoon 2FAのサーバーがリアルタイムでその情報を本物のMicrosoftに転送する
- ログイン成功したセッションCookieを攻撃者が取得する
- 攻撃者はそのCookieを使い、MFA不要で本物のアカウントにアクセスする
MFAコードは通常30秒で失効します。しかしTycoon 2FAの中継は瞬時に行われるため、失効前にセッションを確立できるのです。ユーザーから見ると「ログインに失敗したのかな」と思う程度で、バックグラウンドでは自分のアカウントが乗っ取られています。
なぜ「本物そっくり」なのか
Tycoon 2FAが運営していた偽ログインページは本物の Microsoft 365 や Gmail と見分けがつかないほど精巧でした。独自ドメイン、本物のSSL証明書、ブランドカラー・ロゴの完全再現——これが「サービスとして提供された」ことで、技術力のない犯罪者でも使えるようになっていました。
国際連携作戦の全貌
作戦の参加者
2026年3月4日の作戦には前例のない規模の官民連携が実現しました:
| 組織 | 役割 |
|---|---|
| Microsoft | 330ドメインの法的押収、脅威インテリジェンス提供 |
| Europol | EU加盟国の法執行調整 |
| Cloudflare | 米国外インフラの遮断、CDN経由のインフラ特定 |
| Proofpoint | フィッシングメールの追跡・分析 |
| Trend Micro | マルウェア分析・C2インフラ特定 |
| 6カ国の法執行機関 | ラトビア、リトアニア、ポルトガル、ポーランド、スペイン、英国 |
作戦の内容
インフラの同時制圧が作戦の鍵でした。Tycoon 2FAのコントロールパネル、フィッシングページのホスティング、支払いシステム——これらが複数国・複数プロバイダにまたがって分散されていたため、「一点を叩けば終わり」ではありませんでした。
Microsoftは民事訴訟を通じて米国内の330ドメインを法的に押収。同時にCloudflareが米国外のインフラを遮断し、欧州6カ国の警察が物理的なサーバー押収と関係者の特定を進めました。
「官民連携」がなぜ有効なのか
サイバー犯罪のインフラは国境をまたいで分散しています。一国の法執行機関だけでは対処できないこの課題に、今回の作戦は新しい解を示しました。
従来の課題
サイバー犯罪インフラの典型的な分散:
・ドメイン登録: アイスランド
・サーバーホスティング: ロシア
・支払い処理: ブルガリア
・オペレーター: 東欧各国一国の警察が動いても、他国のインフラが動き続ければ犯罪者はすぐに復活できます。
今回の作戦が成功した理由
- 同時性:複数国が一斉に動いたため、「逃げ場」がなくなった
- 民間の技術力:MicrosoftやCloudflareがインフラの全体像を把握しており、どのドメインを押さえれば壊滅するかを特定できた
- 法的手段と技術的手段の組み合わせ:ドメイン押収(法的手段)+ CDN遮断(技術的手段)を並行実施
利用者はどう対策すべきか
Tycoon 2FAは壊滅しましたが、同様のPhaaS(フィッシング・アズ・ア・サービス)は今後も現れます。
AiTM攻撃に対して有効な認証手段
| 認証方式 | AiTMへの耐性 | 説明 |
|---|---|---|
| SMS認証コード | ✗ 弱い | リアルタイム中継で突破される |
| TOTP(認証アプリ) | ✗ 弱い | 同様に中継される |
| FIDO2 / パスキー | ✓ 強い | ドメインに紐付くため偽サイトでは使えない |
| ハードウェアキー(YubiKey等) | ✓ 強い | 同上 |
FIDO2とパスキーが決定的な違いを生む理由:認証情報がドメイン(login.microsoftonline.com)に暗号的に紐付いているため、偽のドメインでは認証が成立しません。中継しようとしても「ドメインが違う」と検知されます。
現実的な対策の優先順位
- 重要アカウント(メール・財務・HR)はFIDO2対応のMFAに移行
- フィッシングリンクを踏まないための習慣:メール内のリンクは直接クリックせず、ブックマークや公式アプリからアクセス
- 不審なログイン通知を見逃さない:「自分が操作していないのにログイン成功通知が来た」は侵害のサインかもしれない
これは「勝利」なのか?
Tycoon 2FAの壊滅は間違いなく重要な成果です。しかし冷静に見る必要もあります。
- 2023年から活動していたTycoon 2FAの運営者はまだ逮捕されていない(インフラのみ押収)
- 類似サービスの「Rockstar 2FA」「Evilginx」はまだ活動中
- Tycoon 2FAが培ったノウハウを持つ関係者が新サービスを立ち上げる可能性がある
それでも、今回の作戦が示した「官民連携 × 国際協調 × 同時制圧」のモデルは、今後のサイバー犯罪インフラ対処の新たな標準になりえます。
「単独の企業も、単独の政府も、今日のグローバルなサイバー犯罪インフラには対抗できない。これは連携のモデルケースだ」 — Microsoft On the Issues(2026年3月4日)
まとめ
Tycoon 2FAの摘発が教えてくれることは2つです。
攻撃側への教訓:大規模な犯罪インフラも、官民の国際連携の前には解体される。
防御側への教訓:SMS/TOTPベースのMFAはもはや十分ではない。AiTM攻撃に対抗するには、FIDO2/パスキーへの移行が最も現実的な答えです。
パスワードだけの時代が終わったように、「スマートフォンの6桁コード」だけの時代も終わりに近づいています。
参考情報 本記事は Microsoft On the Issues、Europol 公式発表、Cloudflare Threat Intelligence Report、および The Hacker News の報道をもとに執筆しています。フィッシングキットの技術実装詳細や具体的な攻撃手順は意図的に省略しています。