Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

LockBit復活:バージョン 5.0 の新機能とは

2025年9月12日
Lucie Cardiet
サイバー脅威リサーチマネージャー
LockBit復活:バージョン 5.0 の新機能とは

ロックビットは ランサムウェア・アズ・ア・サービス(RaaS)である。2019年のデビュー以来、複数のバージョンを経て進化してきた。サーバーを押収し、復号化キーを流出させた大規模な法執行機関の摘発(2024年初頭のOperation Cronos)にもかかわらず、このグループはLockBit 5.0で再登場した。この最新バージョンはギャングの「カムバック」と位置づけられており、より高速な暗号化、より強力な回避、刷新されたアフィリエイト・プログラムを誇っています。このブログでは、LockBit 5.0の技術的特徴の包括的な内訳と、SOCチームがアフィリエイト主導のキャンペーンに対する防御を強化するための実用的な洞察を提供します。

LockBit 5.0のログインページ (出典:SOCRadar)

LockBit 進化の簡単なおさらい

LockBitは2019年に「ABCDランサムウェア」という名前で初めて登場しました。これは、暗号化されたファイルに「.abcd」という拡張子を付加することから来ています。この初期バージョンは比較的基本的なもので、現在見られるような高度な手法は用いず、ローカルファイルの高速暗号化のみに焦点を当てていました。

2021年、LockBit 2.0(Red)は最初の大きな飛躍となりました。攻撃者が機密データを大規模に窃取することを可能にする、専用のデータ窃取ツール「StealBit」を導入しました。このバージョンでは、SMBとPsExecを介した自動伝播機能も追加され、関連組織は企業ネットワーク全体に迅速に拡散することができました。同時期に、グループは標的をLinuxとVMware ESXiへと拡大し、ビッグゲームハンティングへの注力を開始しました。

2022年にリリースされたLockBit 3.0(Black)は、イノベーションをさらに推し進めました。ランサムウェアグループとして初めてバグ報奨金プログラムを運営し、ハッカーにマルウェアの改良への協力を公募しました。また、攻撃を加速させるために断続的な暗号化を導入し、大容量ファイルの一部のみを暗号化しながら、ファイルを無力化しました。このバージョンにより、LockBitは世界で最も活発なランサムウェアグループとしての地位を固め、その年に報告されたインシデントの40%以上を占めるに至りました。2022年後半に流出したビルダーキットは、研究者やライバルの犯罪者に、LockBitがいかにカスタマイズ可能になったかを垣間見せる貴重な機会となりました。

2024年後半、LockBitは法執行機関からの圧力に応え、LockBit 4.0 (Green) をリリースしました。このリリースはほぼ全面的な書き換えが行われ、.NET Coreで開発され、モジュール型アーキテクチャと強化されたステルス性を備えています。プリンタースパムなどの目障りな機能は廃止され、APIアンフック、難読化、そしてよりステルス性の高い実行が採用されました。暗号化速度は過去最高を記録し、大規模ネットワークを数分で麻痺させることが可能になりました。カスタマイズ可能な身代金要求メッセージとLinuxおよびESXi環境のサポートにより、アフィリエートはより柔軟な対応が可能になりました。

世界的な閉鎖と内部情報漏洩を経て、LockBit 5.0で同グループは完全復活を試みています。このバージョンではモジュール型アプローチが継続され、最新のEDRに対するより強力な回避策が導入され、ネットワーク再構築のためのアフィリエイトインセンティブも刷新されています。その結果、LockBitは、これまでのどのランサムウェアよりも高速で、より回復力があり、より適応性の高いランサムウェアへと進化しました。

バージョン タイムフレーム 主な特徴と変更点
LockBit 1.0
"ABCD"		 2019年から2020年 基本的だが高速な暗号化ソフト。現段階では、データ盗難機能は限られている。初期のCまたはC++実装で、成熟したアフィリエイト・ツールはまだない。
LockBit 2.0
“Red”		 2021 StealBitの導入による迅速な流出。SMB、PsExec、WMIを使用した発見と横移動の自動化の向上。大幅なスピードアップ仮想インフラにLinuxとVMware ESXiロッカーを追加。アフィリエイトのための収益分配とパネルアクセスによるRaaSプログラムを正式化。
LockBit 3.0
“Black”		 2022 断続的な暗号化を追加し、ファイルを使用不可能な状態に保ちながらインパクトを加速。AESとRSAのハイブリッド暗号を継続。malware 改善のための公開バグ報奨金を開始。アフィリエイトのためのポイント・アンド・クリック・ビルダーを熟成。二重、三重の恐喝手口が増加。後にビルダーが流出し、古いビルドの模倣やシグネチャカバレッジが可能に。
LockBit 4.0
“Green”		 2024年後半から2025年前半 .NET Coreコードベースとステルスファースト設計による大幅な作り直し。EDRをバイパスするために、複雑なAPIのハッシュ化とユーザーランドのフック解除を行いました。ノイズの多い自己伝播とプリンターの不正使用を削除し、検出を削減。より高速なマルチスレッド暗号化、アフィリエイトのためのカスタマイズ可能なランサムノート、回復力のための分散型Torインフラストラクチャ。データセンターへの影響を考慮し、LinuxとESXiの対象を拡大。
LockBit 5.0 2025年半ばから後半 アフィリエイトがキャンペーンごとにコンポーネントを切り替えられるよう、モジュラーアーキテクチャを採用。更なるスピードの最適化とアンチ分析の強化。交渉中の柔軟なコミュニケーション、Torポータルと必要なTox。ネットワーク再構築のためのアフィリエイト・インセンティブの刷新、新規アフィリエイトの流入。同業者グループとの協力のシグナル、カルテル的調整の可能性。ゴールは、より低い検出表面でインパクトまでの時間を短縮することである。
LockBit RaaSの進化、2019年から2025年まで

LockBit 5.0の機能:TTP と変化点

LockBit 5.0では、モジュール化、高速暗号化、より強力な回避機能が導入されていますが、実際に影響を与えるのは、侵入時にこれらの機能がどのように機能するかです。以下では、新機能を攻撃ライフサイクルの各ステージにマッピングすることで、SOC チームが検知と対応に重点を置くべき場所を正確に把握できるようにします。

初期アクセス

  • 新機能:アフィリエイト・プログラムの垣根が低くなった(自動登録、幅広い募集)ことで、キャンペーン間の侵入テクニックがより多様になった。
  • 観察されたテクニック:フィッシングRDP/VPN のブルートフォースとクレデンシャル・スタッフィング、Exchange や Fortinet のようなパッチ未適用のサービスの悪用。
  • SOCの焦点:異常なログインアクティビティ、繰り返される認証の失敗、およびパッチが適用されていない一般向けインフラストラクチャを監視する。

実行と特権のエスカレーション

  • 新情報:ペイロードはPowerShellやLOLBinsを介してファイルレスで起動されることが多く、ビルドには有効期限が含まれていることがあるため、解析の妨げになります。
  • 観察されたテクニック:インメモリローダー、mshta.exeの実行、LSASSからのクレデンシャルダンプ、レジストリハイブの流出。
  • SOCの焦点:疑わしいスクリプトアクティビティ、特に PowerShell による子プロセスの生成や、通常のベースライン外のレジストリアクセスを検知する。

ラテラルムーブ

  • 新機能:アフィリエイトは増殖モジュールを切り替えることができるため、LockBitは以前のwormバージョンよりも予測しにくく、ステルス性が高くなっている。
  • 観察されたテクニック:PsExec、WMIジョブ、グループポリシーオブジェクト(GPO)の悪用によるランサムウェアのホストへの拡散。
  • SOCの焦点:新しいサービスの作成、異常なリモートWMIコマンド、または業務時間外の横方向のRDP接続をハントする。

防御回避

  • 新機能:拡張されたプロセス・キルリスト、高度なAPIアンフック、モジュラー・アーキテクチャに組み込まれた難読化。
  • 観察されたテクニック:AV/バックアップエージェントの終了、シャドウコピー削除(vssadmin delete)、ログ消去、サンドボックス/VMチェック。
  • SOCの焦点:大量のプロセス/サービス停止をレジストリ編集や管理コマンド実行と関連付ける。

衝撃と恐喝

  • 新機能:最適化された断続的な暗号化により、暗号化速度が速くなった。ランサムノートには、Torポータルだけでなく、段階的な支払い期限とTox IDが含まれる場合がある。
  • Observed techniques: Large-scale file renaming with randomized extensions, {random}.README.txt ransom notes in directories, wallpaper changes, exfiltration via StealBit/Rclone.
  • SOCの焦点:検知 ファイルの一括リネーム、予期せぬ壁紙の変更、クラウドストレージや未知のサーバーへの異常な送信転送。
ロックビット5.0プラットフォームのスクリーンショットを含むXへの投稿

LockBit 5.0に対する予防だけでは不十分な理由

LockBit 5.0は、不快な真実を浮き彫りにしています。それは、たとえ高度に調整された予防策であっても、すべての攻撃を阻止できるわけではないということです。ランサムウェアは、脆弱な認証情報、パッチ未適用のシステム、あるいはフィッシング攻撃を悪用して侵入します。そして、侵入後は、正規の活動に紛れ込んだツールや手法を駆使します。ランサムウェアが実行される頃には、被害は既に発生しています。

従来の予防レイヤーが不十分なのはここにある:

  • ファイアウォール、VPN、MFAなどの境界防御は、多くの試みをブロックするが、盗まれた有効な認証情報を認識することはできません。攻撃者が信頼できるユーザーとしてログインすれば、そのまま通過してしまいます。
  • エンドポイントエージェントを強制終了またはバイパスすることができます。LockBit 5.0は、AVおよびEDRプロセスを積極的に終了し、メモリ内でファイルレスで実行し、APIをアンフックして、痕跡をほとんど残しません。
  • ログ中心のツール (SIEM、DLP)は、攻撃者が削除できる可視性に依存しています。LockBitはイベントログを消去し、シャドウコピーを削除することで、暗号化が始まる直前に防御側の目をくらませます。
  • バックアップが直接的に標的となります。プロセスキルリストにはバックアップおよびリカバリサービスが含まれており、組織は最後の防衛線を失うことになります。

SOCチームにとって、これは予防だけに注力するだけでは不十分であることを意味する。攻撃者が隠すことのできない振る舞いを探し出すような、侵害後の検知と対応戦略が重要なのです。

  • クレデンシャルの悪用と 権限の昇格
  • PsExec、WMI、またはGPOを介した異常なラテラルムーブ
  • プロセスの 大量終了と シャドウコピーの削除
  • クラウドサービスやTor/Toxチャネルへの異常なアウトバウンドデータ転送

Vectra AIによるLockBit関連活動の検知

Vectra AIプラットフォームは、この検知ギャップを埋めるために構築されました。ログやシグネチャのみに依存するのではなく、ネットワーク、アイデンティティ、クラウド、SaaS環境全体の挙動を継続的に分析し、実際の攻撃者の活動をリアルタイムで浮き彫りにします。予防と侵害後の検出およびAI主導の対応を組み合わせることで、SOCチームは、暗号化によって業務が機能不全に陥る前にLockBit 5.0を阻止することができます。

Vectra AIがどのようにギャップを埋め、予防が失敗したときに検知と対応を確実にするのか、セルフガイド・デモを ご覧ください。

---

情報源:このブログの情報は、業界研究ブログや公式勧告など、さまざまな脅威インテリジェンス分析から得られたものです。主な参考文献: LockBit 5.0 の機能に関する SOCRadar 脅威情報ブログ、 joint advisory (May 2025) detailing LockBit 3.0/4.0 TTP, Trend Micro’s report in collaboration with the UK NCA on LockBit’s new developments, and the Trellix research on LockBit’s leaked admin panel data.

よくあるご質問(FAQ)