C
月内に
フィッシングキット「Tycoon2FA」が、Microsoft 365アカウントを乗っ取るためにデバイスコードフィッシング攻撃を導入しました
📌 一言でいうと
フィッシングキット「Tycoon2FA」が、Microsoft 365アカウントを乗っ取るためにデバイスコードフィッシング攻撃を導入しました。攻撃者はTrustifiのクリック追跡URLを悪用して検知を回避し、被害者に正規のログインページでデバイスコードを入力させることで不正にアクセス権を取得します。一度は法執行機関により遮断されましたが、現在は新しいインフラで活動を再開しています。
🔍該当判定
- Microsoft 365(旧Office 365)を業務で利用している
- 社員がメールで届いた「デバイスコード」を、Microsoftの公式サイトに入力する操作を行う可能性がある
- Trustifiなどのメール配信・追跡サービスを利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なメールに含まれるリンクや、心当たりのないデバイス登録要求(デバイスコードの入力)を無視し、社内ユーザーに注意喚起を行うこと。また、条件付きアクセスなどのセキュリティ設定を強化することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365への不審なログイン要求について
お疲れさまです。情報システム担当です。
Microsoft 365のアカウントを乗っ取るための巧妙なフィッシングメールが確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない「デバイスコード」の入力を求めるメールや画面が表示された場合、絶対に入力せず、すぐに情報システム担当へ報告してください。
2. 不審なリンクが含まれるメールは開かず、削除してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
Microsoft 365のアカウントを乗っ取るための巧妙なフィッシングメールが確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない「デバイスコード」の入力を求めるメールや画面が表示された場合、絶対に入力せず、すぐに情報システム担当へ報告してください。
2. 不審なリンクが含まれるメールは開かず、削除してください。
対応期限: 本日中
Subject: [Security Alert] Suspicious Login Requests for Microsoft 365
Dear employees,
We have detected sophisticated phishing attacks targeting Microsoft 365 accounts.
What we need from you:
1. If you encounter any request to enter a "device code" that you did not initiate, do NOT enter it and report it to the IT department immediately.
2. Do not click on links in suspicious emails; please delete them.
Deadline: Immediate
Dear employees,
We have detected sophisticated phishing attacks targeting Microsoft 365 accounts.
What we need from you:
1. If you encounter any request to enter a "device code" that you did not initiate, do NOT enter it and report it to the IT department immediately.
2. Do not click on links in suspicious emails; please delete them.
Deadline: Immediate
件名: 【共有】Tycoon2FAによるデバイスコードフィッシングへの対応について
お疲れさまです。Tycoon2FAフィッシングキットに関する情報共有です。
■ 概要
Tycoon2FAがOAuth 2.0のデバイス認可フローを悪用した「デバイスコードフィッシング」を開始しました。TrustifiのURLを介して検知を回避し、ユーザーに正規のMicrosoftログインページでコードを入力させることで、攻撃者のデバイスを被害者のアカウントに紐付けます。
■ 影響範囲
- Microsoft 365 利用ユーザー
■ 対応手順
1. 条件付きアクセス(Conditional Access)ポリシーを見直し、未承認デバイスからの登録を制限する。
2. Trustifi等のクリック追跡サービスを経由する不審なトラフィックの監視を強化する。
3. ユーザーに対し、意図しないデバイス登録要求への注意喚起を行う。
■ 参考情報
- BleepingComputer 記事
対応優先度: 高
対応期限: 今週中
お疲れさまです。Tycoon2FAフィッシングキットに関する情報共有です。
■ 概要
Tycoon2FAがOAuth 2.0のデバイス認可フローを悪用した「デバイスコードフィッシング」を開始しました。TrustifiのURLを介して検知を回避し、ユーザーに正規のMicrosoftログインページでコードを入力させることで、攻撃者のデバイスを被害者のアカウントに紐付けます。
■ 影響範囲
- Microsoft 365 利用ユーザー
■ 対応手順
1. 条件付きアクセス(Conditional Access)ポリシーを見直し、未承認デバイスからの登録を制限する。
2. Trustifi等のクリック追跡サービスを経由する不審なトラフィックの監視を強化する。
3. ユーザーに対し、意図しないデバイス登録要求への注意喚起を行う。
■ 参考情報
- BleepingComputer 記事
対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] Tycoon2FA Device-Code Phishing Campaign
Dear IT/Security Team,
This is a technical update regarding the Tycoon2FA phishing kit.
■ Overview
Tycoon2FA is now leveraging OAuth 2.0 device authorization grant flows to compromise Microsoft 365 accounts. The attack uses Trustifi click-tracking URLs for obfuscation and tricks users into registering a rogue device by entering a device code on a legitimate Microsoft login page.
■ Scope
- All Microsoft 365 users
■ Mitigation Steps
1. Review and tighten Conditional Access policies to restrict unauthorized device registration.
2. Monitor for suspicious traffic originating from click-tracking services like Trustifi.
3. Conduct targeted security awareness training regarding device-code phishing.
■ Reference
- BleepingComputer report
Priority: High
Deadline: End of this week
Dear IT/Security Team,
This is a technical update regarding the Tycoon2FA phishing kit.
■ Overview
Tycoon2FA is now leveraging OAuth 2.0 device authorization grant flows to compromise Microsoft 365 accounts. The attack uses Trustifi click-tracking URLs for obfuscation and tricks users into registering a rogue device by entering a device code on a legitimate Microsoft login page.
■ Scope
- All Microsoft 365 users
■ Mitigation Steps
1. Review and tighten Conditional Access policies to restrict unauthorized device registration.
2. Monitor for suspicious traffic originating from click-tracking services like Trustifi.
3. Conduct targeted security awareness training regarding device-code phishing.
■ Reference
- BleepingComputer report
Priority: High
Deadline: End of this week