LockBit 5.0を分析：大手RaaSの最新アップグレードに関する技術的詳細

2025年9月にその存在が確認されたLockBit 5.0は、大きな影響力を発揮するランサムウェア・アズ・ア・サービス（RaaS）グループの最も新しい進化形です。Flashpointの分析で確認された主な技術革新としては、回避性・モジュール性・EDRバイパス機能を最大化するように設計された、モジュール型2段階展開モデルの採用が挙げられます。

LockBitは2019年にABCDランサムウェアとして出現し、2020年からLockBitとしての活動を正式に開始しました。それ以来、世界で最も著名なRaaSグループの1つであり続けています。2024年初頭の国際法執行機関によるテイクダウンや、2025年5月のアフィリエイトパネルの改ざんなど、これまで大きな挫折を経験してきたにもかかわらず、このグループはコードベースの更新やアフィリエイト活動の拡大、そして幅広い業界の組織を標的とした大規模な攻撃を続けています。

.abcd拡張子を使った初期の暗号化ツールから、より高速でステルス性も高いLockBit 3.0、そしてContiから着想を得たLockBit Greenに至るまで、FlashpointはLockBitの進化を幾度となく目の当たりにしてきました。現在のバージョン5.0では回避能力・モジュール性・破壊的効果を最大限に高めることを目標とし、改良された2段階式のランサムウェア展開モデルを採用しています。

この最新の進化は、ランサムウェアグループがテイクダウンやリークといった危機的状況に陥っても後退せず、すぐさま技術革新に投資していることを示す明確なシグナルです。本稿ではLockBit 5.0の仕組みや変更点を紹介し、防御側がこのような進化をどう認識すべきか解説します。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2025年11月6日付）を翻訳したものです。

LockBit 5.0の主な機能とその目的

トレンドマイクロは2025年9月下旬、LockBit 5.0の存在について初めて警告しました。Flashpointの分析によると、このグループはコードをゼロから構築するのではなく、既存のv4.0のコードベースを流用しています。多くのコア機能はそのまま残っており、よく見られるファイル暗号化の手法や実行地域の地理的制限、さらには「information」のスペルミスが残る、使い古された身代金要求メモなどが確認できます。

RC4で暗号化された身代金要求メモを復号したもの（出典：Flashpoint）

一方、LockBit 5.0には新しい機能やアップグレードされた機能もいくつか導入されています。

• ローダーとメインペイロードを分割したモジュール型2段階アーキテクチャ
• 制御フローの難読化やAPIハッシュ化など分析防止用の拡張機能
• プロセスホローイングやライブラリのフック解除、Event Tracing for Windows（ETW）無効化を活用した積極的なEDR検知回避
• ファイル拡張子と身代金要求のメモを省略するステルス実行モードのサポート

このようなアップデートは、LockBitの開発者が窮地に立たされながらも業務継続に注力し、技術的な防御に改良を加える一方で、使い慣れたツールやアフィリエイトモデルの維持に努めていることを示しています。

2段階実行モデルの技術的詳細

新たな2段階実行モデルがLockBit 5.0の最大の特徴です。

• 第1段階ではステルス性と生存性を備えたローダーとして機能
• 第2段階ではコアランサムウェアペイロードを実行し、フレキシブルな展開や標的を絞り込んだ破壊活動、階層化された回避を行う

第1段階：ステルスローダーとEDR回避

第1段階を担うローダーの主な機能や特徴は以下の通りです。

• 制御フローの難読化：コードがジャンプ先を動的に計算するため、従来の逆アセンブリやリバースエンジニアリングがより困難になった
• APIの動的解決：API名をハードコードする代わりにカスタムハッシュアルゴリズムを使用し、実行時に関数呼び出しを解決する
• ライブラリ内のフック解除：ディスクからNTDLLとKernel32のクリーンコピーを読み込み直すことで、セキュリティツールがメモリ内に配置したフックを上書きし、無効化する
• シェルコードを使ったトランポリン：動的に解決したAPI呼び出しの実行にリダイレクトするカスタムシェルコードを構築し、標準的な検出方法をバイパスする

次に、ローダーは一時停止した状態の「defrag.exe」インスタンスを作成し、プロセスホローイングを用いて復号したペイロードを挿入します。Flashpointのアナリストは、第2段階のペイロードが「ZwWriteProcessMemory」によってメモリに書き込まれ、インストラクションポインタが更新された後にプロセス実行を再開することを確認しました。これらの処理はすべて、デフォルトのセキュリティアラートをトリガーすることなく実行されています。

第2段階：破壊力を高めたランサムウェアペイロード

第2段階はランサムウェアのメインペイロードです。Flashpointでは、このバイナリファイルが「ChuongDoung Locker v1.01」と名付けられていることを確認しました。これはセキュリティ研究者Chuong Dong氏を示唆しているものと思われます。このペイロードにはよく知られているLockBitの機能だけでなく、破壊力の高い新たなオプションが備わっていました。

また、このペイロードではさまざまなコマンドラインスイッチを使うことができ、認識可能な影響の有無にかかわらず実行できます。「破壊専用モード」では拡張子の変更や身代金要求メッセージの表示をすることなく、密かにファイルを暗号化します。この戦術は、報復攻撃や破壊そのものを目的とするキャンペーンで使われている可能性が考えられます。

そのほかには以下の挙動が追加されています。

• ローカルドライブ、特定のディレクトリ、ネットワーク共有の暗号化
• Curve25519キーとXChaCha20暗号を使用したマルチスレッド暗号化
• DLLがロードされるたびにライブラリのフック解除を実行
• VSS、WSearch、Edgeupdateといったシステムサービスの無効化
• OSの機能を維持し、検出を回避するためにファイルとディレクトリを除外
• RC4を使った身代金要求文「ReadMeForDecrypt.txt」のを復号

このペイロードは実行前に被害者のマシンをチェックし、位置情報がロシアまたはその同盟国ではないことを確認します。興味深いことに、システムがフィリピンにある場合も実行を回避します。この挙動についてはFlashpointが調査を続けています。

防御側への影響

LockBit 5.0は窮地に追い込まれてもなお発展を続ける、ランサムウェア開発のより広範な進化を象徴する存在です。このグループは制裁やリーク、メンバーの逮捕をものともせず、大規模な活動を続けています。

LockBit 5.0のリリースに伴い、以下のような動きが観測されています。

• 2025年5月にLockBitの内部データがリークされ、アフィリエイトアカウント、ランサムウェアのビルド、被害者とアフィリエイト間の身代金交渉の内容が公開される
• 侵害した認証情報をLockBitのオペレーターへ提供するアクセスブローカーやインフォスティーラーのディストリビューターのエコシステムが拡充される
• 検出可能期間を短縮する新たな脆弱性攻撃や回避手法が導入される

これは防御側にとって、 IoCだけでなく使用されるツールやTTP、さらにアンダーグラウンドでの力関係などによってもランサムウェアグループを追跡することの重要性を改めて示唆しています。

Flashpointのランサムウェア防御フレームワーク

LockBitのようなランサムウェアグループの進化に合わせ、防御側も適応していく必要があります。Flashpointの『2025 Ransomware Survival Guide（2025年版ランサムウェアサバイバルガイド）』では、初期の情報収集からインシデント後の復旧まで、攻撃ライフサイクル全体を通じたセキュリティチームの自衛手段について概説しています。

主な推奨事項：

• 不法フォーラムや侵害サイトを監視し、侵害された認証情報、エクスプロイト、盗難データに関するチャットといった早期兆候となるシグナルを探す
• 脆弱性情報とランサムウェアグループの行動パターンを相関させ、パッチ適用の優先順位を決定する
• 振る舞い検知を使用し、ETWへのパッチ適用やライブラリのフック解除といった回避行動、つまりLockBitとアフィリエイトが好んで使う戦術を検知する
• 攻撃が発生する前から、それぞれに応じた交渉プロトコルやオフラインバックアップ、法的ガイダンスが盛り込まれた対応プレイブックを準備する

LockBit 5.0という最新の脅威の存在は、ランサムウェアが衰退するどころか適応し続けていることの証左となっています。脅威の機先を制するための最善策は、一次情報に基づくインテリジェンスと行動分析、そして組織的な準備を融合させることにほかなりません。

詳細については『2025 Ransomware Survival Guide』をダウンロードする、あるいはFlashpointのエキスパートにお問い合わせください。

LockBit 5.0の技術的分析に関するFAQ

Q：LockBit 5.0に導入された新技術とは？

A：LockBit 5.0に導入された主な新技術として、モジュール式の2段階展開モデルが挙げられます。第1段階ではライブラリのフック解除やプロセスホローイングといった回避策を実行するステルス性の高いローダーが、第2段階では主要機能となる破壊的なランサムウェアペイロードがそれぞれ実行されます。

Q：LockBit 5.0の最も強力なEDR回避手法とは？

A：LockBit 5.0の最も強力なEDR回避手法の1つに、ライブラリのフック解除があります。これはローダーがディスクからコアWindowsライブラリ（NTDLLやKernel32）のクリーンなコピーを再度読み込むことで、セキュリティツールがメモリ内に配置した検出フックを上書きする技術です。多くの場合、この後にプロセスホローイングを用いてペイロードが挿入されます。

Q：LockBitがテイクダウンをものともせず、復活していることを裏付ける根拠は？

A：法執行機関による大規模なテイクダウンが行われた2024年2月以降、FlashpointではLockBitに被害を受けたことが特定された150組以上の被害者を3か月にわたって追跡しました。その調査データにより、インフラを迅速に回復させ、活発で大規模なアフィリエイトネットワークを維持している同グループの能力が確認されています。

Q：LockBit 5.0のペイロードが「破壊専用モード」をサポートする理由は？

A：LockBit 5.0のペイロードは「破壊専用モード」を使うと、身代金要求メッセージを表示したり、ファイル拡張子を変更したりすることなくファイルを密かに暗号化できます。Flashpointのアナリストは、恐喝を通じて得られる金銭ではなく、運用面の損害を狙った報復攻撃や破壊自体を目的とするキャンペーンでこの戦略が使われている可能性があると考えています。

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。