セドニット（Sednit）は今日、全世界でサイバー攻撃を展開する最も悪名高いグループの一つである。遅くとも2004年には活動を開始しており、もしかすると、それよりも早く活動を開始していたかもしれない。残念ながら直近の2年間に活動のレベルを1段階上げており、標的に対し可能な限り厳しい攻撃を実施している。 情報セキュリティのグローバルリーダーであるESETもこのことを認識しており、継続的にセドニットを追跡してきた。その結果は、3部作の論文としてまとめられており、セドニット特有の側面を多数、詳しく説明している。

本記事では、ESETが発見した内容のダイジェスト、すなわちセドニットに関する情報の入門・導入ともいえるものを読者に提供したい。とはいえ、セドニットに関する情報の詳細については、これら3部作の全てを読むことを強くお勧めしたい。

• 第1部「セドニットに迫る: 標的へのアプローチ」
• 第2部「セドニットに迫る: 活動の監視」
• 第3部「セドニットに迫る: 不可思議なダウンローダー」

第1部: 標的へのアプローチ

セドニットの主な標的に関して、その攻撃の動機と洗練度合いを観察すると、多くのことが明らかになってくる。次の標的について考えてみよう。

• 2015年4月: TV5Monde (フランスのテレビ網)
• 2015年5月: ドイツ議会
• 2016年3月: 米国の民主党全国委員会(DNC)

この標的を見ると、2つのことが推測できる。第1に、セドニットは知名度の高い標的を攻撃するのに十分な自信を持っていること、第2に、セドニットの活動が国際的な地政学と結び付いていることである。

ESETは、セドニットのスピアフィッシング攻撃の欠陥を突くことにより標的リストを入手することに成功した。セドニットは標的型フィッシング・メールに利用するURLを短縮するのにURL短縮サービス「Bitly」を利用していた。

標的の中にはGmailアドレスを持つ個人や組織が含まれており、そこにはアルジェリア、コロンビア、インド、イラク、北朝鮮、キルギスタン、レバノンの各大使館、アルゼンチン、バングラデシュ、韓国、トルコ、そしてウクライナの各省庁、東欧に拠点を置くジャーナリスト、ロシアの反政府派政治家、NATOのメンバーなども含まれていることに留意されたい。

ESETは、「われわれが特定することのできた標的のほとんどが、東欧における現在の政治状況に対して同じ視点を分かち合っているという事実に関係している」 と述べている。

これらの個人やグループを標的にする際に、セドニットはマルウェアを侵入させるために主に2種類の攻撃手法を用いている。第1に、メールの添付ファイルを開くように仕向ける手法である。第2に、カスタマイズされたエクスプロイト・キット(システムやデバイスの脆弱性を突くもの)を含むWebサイトを訪問させる手法である。これらのほとんどは標的型のフィッシング・メールに端を発する攻撃である。

セドニットの特に興味深い特徴として、ゼロデイの脆弱性を特定する能力が挙げられる。例えば、2015年だけで見ても、ゼロデイの脆弱性を6つも突いており、洞察力およびスキルの高さを立証している。

ESETは「セドニットは常に標的にアプローチする新たな手法を検討している。これらの手法には日和見主義的な戦略もあれば、独自の手法を展開するものもある」と結論付けている。

第2部: 活動の監視

セドニットが潜在的な標的に対し偵察活動を実施する際には、例えばセドアップローダー（Seduploader）やダウンデルフ（Downdelph）などのマルウェアを利用する。そして、スパイ活動用のツールキットを展開し、侵入したデバイスを長期にわたり監視するのである。

これは通常はセドレッコ（Sedreco）とエックスエージェント（Xagent）という2つのスパイ用バックドア、そしてエックストンネル（Xtunnel）というネットワークツールを用いて実施される。これらの3つのマルウェアは間違いなく、セドニットの活動を理解・検知する上で基礎となるものであった。

エックスエージェントはWindows、LinuxそしてiOS版が存在しているが、これについてESETは、「とてもよくできたバックドアであり、ここ数年、セドニットのスパイ活動用のマルウェアのフラグシップとなっていたものである。HTTPもしくはメール上で通信できるため、このツールはオペレーターにとって万能なものとなっている」と述べている。

柔軟な動作をするセドレッコは、ドロッパーと執拗な不正コード(ペイロード)で構成されている。ESETの観察によれば、セドニットは、非常に利用しやすいバックドアとしてセドレッコを長年利用してきており、しかも「新たなコマンドを次々に搭載」するとともに「外部プラグインのロード」も可能である。

最後にエックストンネルが侵入したデバイスに変更を加え、それを踏み台機器へと実質的に変換するため、「セドニットのオペレーションに非常に重要なものであると考えている」とESETは結論付けている。

第3部: 不可思議なダウンローダー

セドニットに関する論文の第3部は、非常に重要な役割を担うダウンデルフに焦点を当てている。ダウンデルフは攻撃の第1段階を仕掛けるマルウェアである。サイバー攻撃における利用は限定されてきたものの、セドニットが特定の標的にどのようにアプローチするのかについて驚くべき洞察を提供してくれる。

ESETが行った計測によれば、ダウンデルフはこれまで7回しか実際の攻撃には利用されていないようである。しかも不思議なことに、ルートキット(先進的かつ執拗な手法が集められたもの)やブートキット（マスターブートレコードに仕組まれた巧妙なマルウェア）と組み合わされることは一度もなかった。これは変わったアプローチのように見えるかもしれない。だが、これによりセドニットが気付かれずに活動を展開する上で非常に有効であった、ということを示すものである。

ダウンデルフは、Delphiプログラミング言語で記述されたことからこのように名付けられた。動作は次の通りである。メインの設定ファイルをダウンロードし、C&Cサーバーのリストを拡大し、それらから不正コード(ペイロード)を収集する。

「実際にはダウンデルフまれにしか利用されなかったので、2年もの間、研究者に見つけられることがなかった。標的型攻撃の手法と持続的に組み合わせることにより、長期にわたり選択された標的を監視し続けることが可能であった」とESETは結論付けている。