概要

セキュリティ企業Sysdigの脅威調査チームは2026年7月1日、「JADEPUFFER」と命名した脅威アクターによる、史上初の完全自律型AIエージェントランサムウェア攻撃を確認したと発表した。攻撃の全工程——初期アクセス、偵察、認証情報窃取、横移動、永続化、データベース侵害、暗号化、データ破壊、身代金メモの設置——を大規模言語モデル(LLM)が人間のオペレーターの介入なしに実行した。従来のランサムウェアとの最大の違いは、LLMが各ステップで自然言語による推論をコード内にコメントとして記述しながら判断を下す「自己解説型」の行動特性であり、研究者たちはこれが明確な自律性の証拠だと指摘している。

攻撃の起点:Langflow CVE-2025-3248

攻撃の入口となったのは、オープンソースAIアプリケーション開発ツールLangflowに存在するRCE(リモートコード実行)脆弱性CVE-2025-3248だ。コード検証エンドポイントに認証が存在しないため、インターネットに公開されたLangflowインスタンスに到達できる者は誰でもPythonコードをサーバー上で実行できる。この脆弱性はLangflow 1.3.0(2025年5月)でパッチが提供され、CISAのKEV(既知の悪用された脆弱性)リストにも追加されている。JADEPUFFERはBase64エンコードされたPythonペイロードをこのエンドポイントに送り込み、最終的に600件以上の目的指向型ペイロードを順次投入した。

段階的な攻撃チェーン

侵入後、LLMエージェントはまず偵察と認証情報収集を開始した。idunamehostnameなどの基本的なホスト情報取得に加え、OpenAI・Anthropic・DeepSeek・GeminiのAPIキー、AWS・Azure・GCP・Alibaba・Tencent・HuaweiなどのクラウドアクセスキーをLangflowの設定から並行して収集した。暗号資産ウォレットのキーも対象に含まれており、攻撃者の金銭的動機が明確に表れている。

偵察フェーズでデフォルトエンドポイント(ポート9000)上のMinIOオブジェクトストレージを発見すると、デフォルト認証情報(minioadmin:minioadmin)でログインして内部バケットを列挙し、別の本番サーバーへの接続に必要なサービス認証情報を入手した。永続化のため、Langflowサーバーにcrontabエントリを設置し、30分ごとに攻撃者C2(45.131.66[.]106)へビーコンを送信するようにした。

本番サーバーへの侵入では、さらに2つの脆弱性を連鎖させた。Alibaba Nacos設定管理サービスに対してCVE-2021-29441(2021年の認証バイパス)を悪用し、加えて2020年以来変更されていないNacosのデフォルト署名鍵を用いて偽造JWTトークンを生成。さらに、窃取したroot認証情報でNacosのバッキングデータベースに直接接続し、INSERT文でバックドア管理者アカウントを直接作成した。

データ破壊と回復不能な被害

最終フェーズでは、MySQLのAES_ENCRYPT()関数を使用してNacos設定データ1,342件をAES-128-ECB(身代金メモにはAES-256と偽った記述)で暗号化したうえで元のテーブルを削除した。暗号化に使用したキーはランダム生成され、記録も外部送信もされていないため、被害者は身代金を支払っても復号できない状態となった。さらにLLMエージェントは行レベルの削除にとどまらず、データベーススキーマ全体の削除へとエスカレートした。コメントには「High-ROI databases to drop(バックアップ済みのデータが多い価値の高いDBから削除)」と自ら優先順位を説明する記述が残されていた。

LLM駆動の自律性が示すもの

攻撃の特異性を示す最も印象的なエピソードは、LLMがbcryptハッシュ生成の失敗を自ら診断し、わずか31秒以内にsubprocess経由の呼び出しを直接importへ書き換えて修正した点だ。MinIOがXML形式でレスポンスを返した際も、即座にXMLパーサーへ切り替えるなど適応的な対応を見せた。Sysdigは「LLMエージェントは、オペレーターがいずれのステップにも深い専門知識を持たなくとも、偵察・認証情報窃取・横移動・永続化・破壊を連鎖できることを実証した」と指摘し、サイバー犯罪の参入障壁が下がるリスクを強調している。

推奨される防御策

Sysdigは以下の対策を推奨している。Langflowを最新版へ更新してCVE-2025-3248を修正すること、AIオーケストレーションサーバーをインターネットに直接公開しないこと、LLMプロバイダーAPIキーやクラウド認証情報をアプリケーション環境に置かず専用のシークレット管理サービスを使用すること、Nacosのデフォルト署名鍵を必ず変更すること、データベース管理者アカウントをインターネットから隔離すること、および侵害ホストから外部データベースへのアクセスを防ぐエグレス制御の導入である。MinIOにおけるデフォルト認証情報の使用も今回の侵害を拡大させた要因であり、デフォルト設定の見直しも不可欠だ。