【1,000万ドルの賞金首】LockBit首魁コロシェフはなぜ捕まらないのか｜ランサムウェア帝国の正体

要旨 世界最大級のランサムウェア集団「LockBit」。その首魁とされるドミトリー・コロシェフは、2024年5月に米英豪から実名公表・制裁・最大1,000万ドルの懸賞金を科されました。にもかかわらず、2026年5月現在も彼はロシア国内にとどまり、身柄は確保されていません。

本稿では、LockBitを巨大化させたRaaSという犯罪のフランチャイズモデル、Operation Cronosの成果と限界、そして「サーバーは奪えても本人は捕まえられない」という現実から、日本企業が今すぐ持つべきランサムウェア防御の前提を整理します。

🎭 はじめに:正体は割れた。だが、捕まらない

警察は、彼の名前を知っています。顔も、住所も、生年月日も、パスポート番号も把握しています。

米司法省は26件の罪状で起訴し、米国務省は最大1,000万ドルの懸賞金をかけました。英国とオーストラリアも制裁を発動しています。

それでも、彼は捕まりません。

ドミトリー・ユーリエヴィチ・コロシェフ(Dmitry Yuryevich Khoroshev)。ハンドルネームは「LockBitSupp」。世界最大級のランサムウェア集団LockBitの開発者・運営者とされる人物です。ロシア・ヴォロネジ在住、2026年5月現在33歳。

え、そこまで個人情報が割れてるのに、なんで捕まらないの?

ロシアにいるからなんだ。憲法で「自国民は引き渡さない」と決まっていて、ウクライナ侵攻以降は西側との交渉のテーブル自体がない。本記事ではこの「捕まらない構造」を、技術・ビジネスモデル・地政学の3層で解きほぐしていくよ。

彼が2019年に立ち上げた犯罪サービスは、6年間で2,500以上の組織を被害に遭わせてきました。米司法省の公表によれば、奪われた身代金は5億ドル(約750億円)以上、関連する被害総額は数十億ドル(数千億円)規模に達したとされています。被害組織にはBoeing、Accenture、英ロイヤルメール、独自動車部品大手Continental、伊国税庁、米シカゴのSt. Anthony Hospitalなどが含まれます。

なぜ警察は手出しできないのか。なぜ「LockBit」というブランドは、首魁が公衆の面前で晒されたあとも生き延びたのか。本稿はその答えを、技術・ビジネスモデル・地政学の3層から解きほぐし、最後に読者のみなさんが知っておくべき実用的な結論で締めくくります。

👤 1. ドミトリー・コロシェフは何者か

コロシェフは2019年9月、独立系ランサムウェアグループ「ABCD」(.abcd拡張子を付けることに由来)としてキャリアをスタートさせました。同年12月に「LockBit」へ改名し、以後一貫して開発・運営の中核を担ってきています。

興味深いのは、彼が典型的な犯罪集団のボスではなかったことです。FBIが押収した内部データから判明した彼の行動様式は、シリコンバレーのSaaSスタートアップCEOに近いものでした。

• バージョン管理(LockBit 1.0 → 2.0 → 3.0/Black → 4.0 → 5.0)
• バグバウンティ制度(最大100万ドルの報奨金)
• カスタマーサポート(被害者向け「Chat with Support」窓口)
• アフィリエイト管理ダッシュボード
• リクルーティング・ボーナス

バグバウンティ制度って…正規のIT企業みたいなことやってる!

そう、そこがLockBitの怖さなんだ。「俺は技術者だ」というブランディングで、優秀な犯罪者を集めてた。でも起訴状を見ると、本人だけで1億ドル(約150億円)以上を懐に入れてる。

コロシェフ自身は「自分は技術者で、CEOではない」と装い続けましたが、起訴状によれば彼一人が少なくとも1億ドル(約150億円)を個人口座で受け取っていたとされています。

🏭 2. なぜLockBitは一時、世界のランサムウェア攻撃の4割超を占めたのか──RaaSという犯罪のフランチャイズ化

LockBitの強さは、マルウェアそのものの技術力にあったわけではありません。暗号化実装はバージョンごとに変化しており、Unit 42の解析ではLockBit 2.0がAES+ECC、AcronisやTrend Microの解析ではLockBit 5.0がXChaCha20+Curve25519系と、暗号方式は世代で異なります。本質的な強さは暗号方式そのものよりも、RaaSとしての運営力、アフィリエイト網、リークサイト、交渉インフラを組み合わせた犯罪ビジネスモデルにありました。コロシェフはランサムウェア業界に「マクドナルド型のフランチャイズ」を持ち込んだ最初期の人物です。

「世界の4割超」とは、Unit 42の2022年5月時点のリークサイト集計でLockBit 2.0がランサムウェア関連侵害イベントの46%を占めたとされた数字を指します。前後年では2〜3割だった年も多く、Operation Cronos以降は大きく落ち込みました(後述します)。

ランサムウェアでフランチャイズって、ピンと来ないんだけど？

マクドナルド本部が「店舗運営マニュアル」と「ブランド」を提供して、加盟店オーナーが現場で営業する。あれと同じ構造で、LockBit本部が「マルウェア」と「リークサイト」を提供して、アフィリエイトと呼ばれる実行犯が現場で攻撃する仕組みなんだ。

その骨格は次の5つの仕組みに分解できます。

仕組み① 役割分担:「実行犯」と「武器商人」を分離する

伝統的なハッキング集団は、侵入から身代金回収まで一気通貫で行います。LockBitはこれを2階層に分けました。

• コア(コロシェフら開発チーム):マルウェア・サーバー・リークサイト・暗号資産ウォレット・交渉インフラを提供
• アフィリエイト(実行犯):標的選定・初期侵入・横展開・データ窃取・暗号化を実行

この分業により、技術力は低いが標的を持つ者(IDブローカー、内部脅威の協力者など)でも参入できるようになりました。NCAは2024年時点でLockBitに194名のアフィリエイトが登録されていたことを公表しています。

仕組み② インセンティブ設計:80/20の建前と、現実の搾取

LockBitは公式には「身代金の80%をアフィリエイト、20%をコア」と謳っていました。これは当時の業界水準より好条件で、優秀な実行犯を引き寄せていたのです。

しかし2024年のNCA調査で衝撃の事実が判明します。194名のアフィリエイトのうち114名は、参加費を払い攻撃を実行したにもかかわらず、LockBitから一銭も受け取っていませんでした。実行犯は法執行機関の標的になるリスクだけを負わされ、報酬はコロシェフ側に滞留していた構図です。

仕組み③ 二重恐喝(Double Extortion)

ファイルを暗号化する前に大量のデータを窃取し、「身代金を払わなければ公開する」と脅す手法です。LockBitはこれをStealBit(2021年導入)というツールで自動化し、業界標準を作りました。

さらにNCAは、LockBitが身代金を受け取った後も窃取データを削除していなかったことを明らかにしています。被害企業は二重に裏切られていたわけです。

仕組み④ 公開リークサイトと「カウントダウン時計」

被害組織名と「あと◯日◯時間」のタイマーを公開し、心理的圧力をかける手法もLockBitが定番化させました。「払わない=世界中に晒される」という公開恫喝は、保険会社・取締役会・広報部門を動かす強力なレバレッジになります。

仕組み⑤ 自己ブランディング:バグバウンティと「LockBit Lite」

2022年のLockBit 3.0リリース時、コロシェフは自身のマルウェアに最大100万ドルのバグバウンティを懸けました。Silicon Valleyのテック企業のような所作で、犯罪者コミュニティに「プロフェッショナル」のイメージを売り込んだのです。

2024年12月にはさらに敷居を下げ、$777の登録料で誰でも参加できる「LockBit Lite」プログラムを開始しました。後にこのライトパネルが、後述する2025年5月の自爆事件の入口になります。

🚓 3. Operation Cronos:史上最大のランサムウェア包囲網と、その限界

2024年2月19日、国際合同作戦が発動

英国家犯罪対策庁(NCA)主導、FBI・ユーロポール・10カ国法執行機関が参加するOperation Cronosが、LockBitのインフラに同時打撃を加えました。

押収・破壊されたものは膨大です。

• 34台のサーバーを複数国で同時押収
• ダークウェブ上のリークサイト・管理パネルを差し押さえ
• 14,000以上のアフィリエイトアカウントを閉鎖
• 200以上の暗号資産ウォレットを凍結
• 約2,500件の復号鍵を取得し、被害者へ無償提供開始

そして象徴的だったのは、NCAがLockBitのリークサイトを乗っ取り、犯罪者が見せていたカウントダウン時計を「LockBit首魁の正体公開まであと◯時間」という逆カウントダウンに置き換えたことです。被害者を辱めてきた手法を、そっくりそのまま犯罪組織に返した形になります。

なんかカッコいい!ハッカー集団に同じ手口でやり返したわけだ。

うん、ここはOperation Cronosで一番話題になった瞬間だった。世界中のセキュリティ業界がスクリーンショットを撮りまくったよ。

2024年5月7日:仮面が剥がれる

Operation Cronos taskforceは予告通り、LockBitSupp = Dmitry Khoroshevであると公表しました。同時に米司法省が26件で起訴、米英豪が制裁を発動しています。

ここで美しい皮肉が生まれました。コロシェフはかつて、「自分の正体を暴いた者には1,000万ドルを支払う」と挑発していたのです。米国務省はその1,000万ドルを、彼の逮捕につながる情報提供者への懸賞金として、そっくり同額設定しました。

しかし、Operation Cronosの最大の限界

NCAのGraeme Biggar長官は「LockBitの能力と信用に深刻な打撃を与えた」と勝利宣言しましたが、運営の中核であるコロシェフ本人の身柄確保には至っていません。捕まったのはアフィリエイト層の数名(カナダで Mikhail Vasiliev、米国で Astamirov・Sungatov・Kondratiev・Matveev ら)に加え、開発者側ではロシア・イスラエル二重国籍の Rostislav Panev が2025年にイスラエルから米国へ身柄移送され、LockBitのコード開発・StealBit・コントロールパネル等への関与で起訴されています。コア層が完全に手付かずというわけではありませんが、コロシェフを含む中核運営者の多くは依然ロシア国内にとどまっているのが現状です。

そしてコロシェフ本人は、ヴォロネジの自宅にとどまる限り、西側当局が身柄を確保するのは極めて難しい状態が続いています。

🌐 4. なぜ捕まらないのか──地政学という最大の壁

理由は法的にもはっきりしています。ロシア憲法第61条には「ロシア連邦市民は国外追放も他国への引き渡しもされない」と明記されており、米英豪が起訴・制裁を発動しても、コロシェフがロシア国内にとどまる限り西側当局が身柄を確保するのは極めて難しいのです。

加えてウクライナ侵攻以降の地政学情勢を考えれば、ロシアと西側の間で引き渡し交渉のテーブルが整う見込みは現状ほぼありません。NCAも「ロシアはランサムウェアグループに事実上の聖域を提供し続けている」と公式に認めています。

じゃあ、コロシェフって完全に「自由」ってこと?

そうとも言えないんだ。次の制約はちゃんとかかってる。

• ロシア国外への渡航は事実上不可能(米英豪に加えEU加盟国の大半が制裁・逮捕対象)
• 米ドル建ての資産凍結(国際金融システムから事実上排除)
• 国内での身の安全:ロシア国内にも1,000万ドルの賞金を狙う「暴力サービス業者」が存在し、コロシェフ自身が「身辺警護」を募集する書き込みをしている

つまり彼は、法的には自由であっても、国際的には移動も資産利用も大きく制限された状態にあります。見方を変えれば、ロシア国内に閉じ込められた「半自由」の状態ともいえます。なお、ロシア情報機関が彼の技術を国家目的で利用する可能性については、Truesec等の脅威インテリジェンス企業からも見方が示されています。

💀 5. 仮面を剥がされても、LockBitは終わらなかった

実名公表で終わらないのが、この事件のもう一つの特徴です。時系列で見ていきましょう。

2024年6月:FRB攻撃を名乗った「大きすぎるハッタリ」

実名公表の翌月、LockBitはリークサイトに「米FRBから33TBのデータを窃取した」と掲示し、「$50,000しか提示しない交渉担当者をクビにしろ」と煽りました。

しかし期限後に公開されたデータを分析した結果、出どころはFRB本体ではなく、アーカンソー州の Evolve Bank & Trust であることが判明します。Evolve はFinTech向けバンキングサービス(Mercury、Affirm、Stripe等の裏側を担う)を提供しており、皮肉にも事件の数週間前にFRBから「アンチマネーロンダリング体制の不備」で行政処分を受けたばかりでした。アフィリエイトが「United States Federal Reserve」と書かれた行政処分文書を見て、本物のFRBデータと勘違いしたのではないか、と Vx-Underground は分析しています。

教訓は明確です。ランサムウェアグループの「攻撃したぞ」宣言は鵜呑みにできません。実名公表で求心力が落ちた組織ほど、目を引くハッタリで存在感を演出しようとするものなのです。

2024年12月:7で参加できる犯罪サービスへ

さらなる拡大狙いか、アフィリエイト不足の補填か、コロシェフは敷居を極端に下げました。LockBit Liteは$777を払えば自動登録できる、技術力検証を伴わないオープン参加方式だったのです。

2025年5月:LockBit自身がハッキングされる

実名公表からちょうど1年後、LockBitの管理パネルが何者かに侵入され、改竄されました。表示されたメッセージは “Don’t do crime CRIME IS BAD xoxo from Prague“(犯罪はやめろ、犯罪は悪い、プラハより愛をこめて)。

ハッカー集団がハッカーにやられてる…なんか面白い構図だね。

そう、「カウントダウン恫喝」を世界中の被害者に押し付けてきた本人が、同じ手口で晒された瞬間だったんだ。

流出したMySQLダンプには次の情報が含まれていました。

• 75名の管理者・アフィリエイトのユーザー名と平文パスワード
• 約62,400のビットコインアドレス
• 被害者との交渉ログ約4,400件(2024年12月〜2025年4月)
• カスタムビルド設定

これらの内容について、Trellix、Searchlight Cyber、Analyst1らの分析で、いくつかの注目すべき事実が判明しています。

• 中国組織が最多被害(LockBit Lite経由)とされ、「ロシア系ランサムウェアは中国を攻撃しない」という暗黙のルールが破られていたとされます
• LockBitSuppは “Hack 7 May.OMG” と題した投稿で動揺を見せ、犯人(xoxo from Prague)に懸賞金をかけました

2025年9月:LockBit 5.0で再始動

完全に終わらないのが、このグループの不気味なところです。2025年9月、結成6周年に合わせてLockBit 5.0が公開されました。Trend Micro、Check Point、Acronisの解析によれば次のような特徴を備えています。

• Windows・Linux・ESXi(VMware仮想化基盤)に対応するクロスプラットフォーム化。さらにProxmox(オープンソース仮想化基盤)対応も標榜
• ETW(Event Tracing for Windows)パッチによるテレメトリ無効化
• ランダム16文字の暗号化拡張子(検出回避)
• ロシア言語環境では実行回避(従来通り)

2025年12月には新DLS(データリークサイト)を立ち上げ、すでに100以上の被害組織を掲載したとの報告もあります。2026年4月には、パナマを拠点としNYSE上場するラテンアメリカ系多国籍銀行Bladexへの攻撃をLockBit 5.0が主張した記録もあります(ただしこれはリークサイト掲載ベースの主張であり、被害の詳細は別途確認が必要です)。完全復活とは言い切れないものの、活動再開の兆候は明確になっています。

🎓 6. 私たちが受け取るべき教訓

で、結局のところ、私たちはどうしたらいいの?

ここまでの事実関係から、日本の企業・組織が持つべき防御の前提を3点に絞って整理するね。派手な対策じゃなくて、地味だけど効くやつだよ。

教訓① 「警察に頼れる前提」は捨てる

LockBit事件が示したのは、国際合同作戦をもってしても、首魁を逮捕できないという現実でした。攻撃を受けた後、警察・FBI・JPCERT/CCに通報することは当然必要ですが、犯罪組織が解体されることや、自社のデータが取り戻されることを期待すべきではありません。

これはランサムウェアに限らず、支払いを前提にしない事業継続計画(BCP) の必要性を意味します。バックアップは「あること」ではなく「短時間で完全リストアできることが演習で実証されていること」が要件になります。NCAの調査では、LockBitは身代金を払った被害者からも窃取データを削除していませんでした。支払いは解決ではない、という前提を経営層に共有しておくことが重要です。

教訓② 「攻撃者は一人ではなく、フランチャイズである」

LockBitの恐ろしさは、コロシェフ個人ではなく、$777で誰でも参加できる仕組みにあります。あなたの組織が攻撃される確率は、1人の天才ハッカーに狙われる確率ではなく、世界数百名の中堅以下のオペレーターが、自動化されたツールで日々スキャンしている標的群に含まれる確率なのです。

LockBit 5.0の被害者リストを見れば、Fortune 500だけでなく中小企業・自治体・病院・学校が圧倒的多数を占めています。「うちは大企業じゃないから狙われない」は最も危険な思い込みです。

教訓③ 攻撃の入口は「派手な脆弱性」ではなく「日常の不備」

2025年5月の自爆事件で流出したアフィリエイト交渉ログの分析(VicOne報告)によれば、LockBitアフィリエイトが使った初期侵入経路は次の通りでした。

• 未パッチのVPN機器(FortiGate・Citrix・SonicWallなど)
• 弱いまたは使い回しのVPN/RDP認証情報
• フラットなActive Directory構成(横展開を許す)
• バックアップサーバーがドメイン参加していて暗号化される

これらは10年前から指摘され続けている「基本のセキュリティ衛生」に過ぎません。LockBitアフィリエイトの会話ログは、皮肉にも「何をやられていれば防げたか」を犯罪者の口から教えてくれる教科書になっているのです。

具体的に最低限やるべきことは、派手なAI防御ではありません。次の5点です。

1. VPN・ファイアウォールなど境界機器のパッチを週次で確認してください。主要な脆弱性は、公開から短期間で悪用される前提で見るべきです
2. VPN、RDP、特権アカウントにはMFAを必須にしてください。例外を作らないことが重要です
3. バックアップはオフラインまたはイミュータブル化し、復元訓練まで行うこと。ドメイン参加した状態で置かないでください
4. ESXiなど仮想化基盤の管理画面を一般ネットワークから切り離してください。LockBit 5.0は仮想化基盤も明確に標的にしています
5. EDR/XDRだけでなく、検知後に誰が何をするかの手順書(Runbook)を作ってください。検出だけして動けない組織が一番危険です

✊ おわりに:勝ち目のない戦いではないが、対称な戦いでもない

ドミトリー・コロシェフは、おそらく今後もヴォロネジで自由の身でいるでしょう。ロシアの政治情勢が劇的に変わらない限り、彼が法廷に立つ日は来ません。

しかし、これは私たちにとって絶望すべき事実ではありません。

Operation Cronosは「首魁の身柄確保」には至りませんでしたが、インフラ破壊・復号鍵2,500件配布・194名のアフィリエイト名簿入手という、戦術的には大きな成果を上げています。月間攻撃数は英国で73%減少しました。一度信用を失った犯罪組織が再起するのは、想像以上に難しいものなのです。

そして、私たち防御側がやるべきことは、コロシェフ個人を追うことではなく、彼のビジネスモデルを成立させない世界を作ることです。それは華々しい国際捜査ではなく、自社のVPNを今週パッチする、バックアップをオフラインに置く、MFAを徹底するという地味な日常の積み重ねでしか成立しません。

コロシェフ本人は止められないけど、自社のVPNなら今週中に何とかできる、ってことだね。

そう。LockBitの首魁が今もガーデニングをしているのを止める手段は私たちにはなくても、彼に支払われる次の身代金が自社から出ないようにする手段は、私たちの手元にすべて揃ってるんだ。

参考情報源

• U.S. Department of the Treasury, Press Release JY2326 (2024年5月7日)
• U.S. Department of State, Transnational Organized Crime Rewards Program
• UK National Crime Agency, “LockBit leader unmasked and sanctioned” (2024年5月7日)
• US DOJ, Indictment of Dmitry Yuryevich Khoroshev (District of New Jersey, 2024年5月)
• TechTarget / SecurityWeek / BleepingComputer / American Banker, Evolve Bank & FRB誤認報道(2024年6月)
• Trellix Research, “Inside the LockBit’s Admin Panel Leak” (2025年6月)
• Searchlight Cyber, “LockBit in its Own Words” (2025年5月)
• Analyst1, “LockBit Got Hacked” (2025年5月)
• Trend Micro / Check Point / Acronis, LockBit 5.0テクニカル解析(2025年9〜10月)
• Palo Alto Networks Unit 42, LockBit 2.0 RaaS解析
• VicOne, “LockBit Affiliate Tactics from Leaked Negotiations” (2025年7月)

本稿は2026年5月10日時点の公開情報に基づいています。最新の動向は各ベンダーの脅威インテリジェンスレポートをご参照ください。