LockBit 5.0 が示す次世代 RaaS モデル:高度な暗号化技術と強化された解析回避手法

LockBit 5.0 Unveils Advanced Encryption and Enhanced Anti-Analysis Techniques

2026/01/07 gbhackers — LockBit は、世界で最も活発な Ransomware-as-a-Service (RaaS) 事業体としての地位を確立している。2021年から 2022年にかけては、記録されているランサムウェア攻撃全体の 30.25% を占め、2023年には約 21% を記録している。LockBit 5.0 の登場は、技術的洗練度が著しく向上したことを示しており、強化された暗号化手法と分析回避メカニズムの導入により、被害者による復旧およびフォレンジック分析の実行を極めて困難にしている。

2019年9月から活動している LockBit は、地域的な脅威から世界的なシステム・リスクへと進化を遂げ、IT インフラ/電子機器製造/法務サービス/宗教機関など、複数の重要セクターを侵害してきた。

LockBit 5.0 は、この既存の運用基盤を継承しており、実行時に設定可能なパラメータを実装することで、マルウェアの機能の確実性を維持している。設定パラメータが存在しない場合でも、マルウェアは通常通りに動作するため、防御的な分離技術への耐性を持つアーキテクチャと評価できる。

暗号技術の革新

LockBit 5.0 は、対称ファイル暗号化に ChaCha20-Poly1305 を採用し、非対称鍵交換には X25519 楕円曲線暗号と BLAKE2b ハッシュを組み合わせたハイブリッド暗号フレームワークを実装している。この二重のアルゴリズム構成により、暗号化されたファイルはローカル・システム情報のみでは復元不可能となり、従来のフォレンジック解析やブルートフォース攻撃による暗号鍵の特定を効果的に阻止している。

暗号化プロセスは、ファイルサイズのしきい値に基づいてパフォーマンスを最適化する可変アルゴリズムを備えている。0x5000000 バイト (約 83.9 MB) 以下のファイルは、派生キー・ストリームを用いた ChaCha20 による直接暗号化が行われる。

その一方で、しきい値を超えるサイズのファイルは、0x800000 バイト (8 MB) 単位のチャンクに分割され、各セグメントに独立した暗号化とカスタム・ハッシュ・ベースの整合性マーカーが付加される。この階層型アプローチにより、暗号化速度とセキュリティの堅牢性のバランスを取り、暗号の整合性を維持しながら、侵害システム上での操作時間が短縮される。

Generating random numbers, private keys, public keys, and shared secrets.
Generating random numbers, private keys, public keys, and shared secrets.
 

身代金要求メッセージが被害者に警告するのは、自己復旧やサードパーティ製復旧サービスの利用を試みた場合には、復号が永久に不可能になるという点だ。それは、代替修復経路を排除することで、即時の身代金支払いを強要する脅迫行為である。

防御回避とサービス停止

LockBit 5.0 が実装するのは、動的解析および静的解析の双方を想定した積極的な防御策である。パッキングおよび難読化手法によりバイナリ構造が隠蔽され、リバース・エンジニアリングが困難になっている。また、ハードコードされたサービス停止機能は、Veeam/Acronis/Microsoft Edge Update/Windows Search などの、16 種類のバックアップ/仮想化/セキュリティ関連ソリューションを標的としている。

このマルウェアは、Windows において自動リカバリ・ポイントを維持するために不可欠な、Volume Shadow Copy Service (VSS) を選択的に停止させ、被害者を回復不可能な暗号化状態に陥らせる。さらに、ハッシュ・ベースの識別により 31 種類の追加サービスも停止する。それが示唆するのは、セキュリティ/バックアップ・インフラが公開する列挙データセットを、大きく超えた標的が想定されていることである。

暗号化前の操作手順

LockBit 5.0 は、ファイル暗号化に先立ち、標準化された Windows Temp ディレクトリ内の一時ファイルを体系的に削除し、不要なキャッシュ・データを排除することで暗号化パフォーマンスを向上させる。それと並行して、重要な Windows システム・ディレクトリおよび実行可能ファイル拡張子 (exe/dll/sys/cpl) を暗号化対象から除外する。

これは、システムの安定性と起動可能性を維持するための意図的な運用上の制約であり、攻撃者による暗号化の展開中/展開後も、侵害ホストに対する持続性と制御の維持を可能にしている。

List of generated extensions.
 List of generated extensions.

LockBit 5.0 は、カスタム・ハッシュ関数を用いて、実行インスタンスごとに 100 個の一意の 8 バイト拡張子を生成し、ファイル拡張子を動的にランダム化する。この拡張子のランダム化機構により、静的 IoC シグネチャの有効性が低下する。フォレンジック復旧ツールにおいても、攻撃時に使用された特定の拡張子セットを事前に把握していない限り、暗号化ファイルの命名規則を予測できなくなる。その結果、復旧サービスの展開は著しく複雑化する。

LockBit 5.0 に組み込まれた、これらの高度な技術が示唆するのは、運用セキュリティと被害者に対する強制力を最優先とする、成熟した RaaS オペレーションである。同グループが多様なセクターで優位性を維持している事実と、進化した暗号化技術の組み合わせが示すのは、ユーザー企業における脆弱性管理/アクセス制御/インシデント対応体制に依然として構造的な弱点が存在することだ。

組織として優先すべきは、バックアップ・インフラのセグメンテーションと、本番ネットワークから分離された変更不可能なバックアップの実装、ランサムウェア展開前のラテラル・ムーブメントやデータ流出を検知することに重点を置いた積極的な脅威ハンティングとなる。

LockBit 5.0 がもたらす継続的な脅威に対抗するためには、エンドポイント検知/ネットワーク監視/インシデント対応機能の全体にわたる、包括的なセキュリティ体制の再評価が求められる。

LockBit 5.0という、強力な RaaS を解説する記事です。新たな脅威は、最新の暗号技術を組み合わせたハイブリッド暗号フレームワークにあります。非常に解読が難しいアルゴリズムを採用し、ファイルサイズに応じて処理を変えることで、迅速かつ確実にデータをロックしてしまいます。さらに、バックアップやセキュリティソフトなどの、特定サービスを狙い撃ちして停止させる機能が備わっていることも、被害を深刻化させる大きな要因です。システムの復旧手段をあらかじめ奪い、解析を妨害する仕組みが幾重にも組み込まれているため、一度感染すると自力での回復が極めて困難になります。よろしければ、LockBit での検索結果も、ご参照ください。