コインベースが資金追跡で捜査支援
米暗号資産(仮想通貨)取引所コインベース(Coinbase)が、マイクロソフト(Microsoft)や欧州刑事警察機構(Europol)などと協力し、フィッシング・アズ・ア・サービス(Phishing-as-a-Service:PhaaS)「タイクーン2FA(Tycoon 2FA)」のインフラ無力化に取り組んだと3月4日に発表した。
タイクーン2FAは、偽のログインページを使って認証情報を盗み取るフィッシング攻撃をサービスとして提供するプラットフォームだ。同サービスでは、ユーザー名やパスワード、認証コードを取得する仕組みに加え、セッショントークンを盗むことで多要素認証(MFA)を回避できる機能も提供されていたという。
セッショントークンとは、ユーザーがすでに認証済みであることを示すデジタル証明だ。攻撃者がこのトークンを取得すると、通常はセキュリティ対策として機能するMFAを回避し、アカウントへアクセスできる可能性があるとされる。
コインベースによると、同社のグローバル・インテリジェンスチームは、タイクーン2FAの運営資金として利用されていた暗号資産の取引を追跡したという。これにより、同サービスの管理者の特定を支援したとのこと。
またマイクロソフトは民事訴訟を提起し、裁判所命令に基づいてタイクーン2FAの運営に利用されていたドメインを差し押さえた。これには管理パネルやフィッシングページをホストしていたドメインが含まれるとのこと。
現在これらのドメインには、裁判所の許可に基づく通知ページが表示されており、調査に協力した企業としてコインベースの名前も記載されているという。
コインベースは今回の取り組みについて、フィッシングサービスのインフラを停止させることで認証情報窃取の主要な経路を断ち、犯罪者に新たなインフラ構築やリスク増加を強いることになるとしている。
なお、マイクロソフトによるとタイクーン2FAは少なくとも2023年から活動しており、2025年半ば時点ではマイクロソフトが阻止したフィッシング攻撃の約62%に関与していたという。また同サービスは、2023年以降、世界で約96,000件のフィッシング被害に関連しているとされ、そのうち55,000件以上がMicrosoftの顧客に関係していたという。
マイクロソフトは近年、サイバー攻撃の標的がインフラではなく「アカウント」へと移行していると指摘している。
:
— Coinbase ️ (@coinbase) March 4, 2026
Criminal organization Tycoon 2FA was offering a phishing-as-a-service platform.
‘ :
Coinbase partnered with Microsoft & law enforcement to trace payments, identify Tycoon’s administrator, and coordinate a service disruption. pic.twitter.com/G2YTaBzLZh