7月3日、The Next Webが「AI agent runs first end-to-end ransomware attack」と題した記事を公開した。この記事では、AIエージェントが人間の介入なしにランサムウェア攻撃をエンドツーエンドで実行した初めての事例について詳しく紹介されている。
セキュリティ企業Sysdigの脅威リサーチチームが、LLM(大規模言語モデル)がすべての工程を自律的にこなしたランサムウェア攻撃を記録した。攻撃者はキーボードを叩いていない。AIがやった。
AIエージェント「JADEPUFFER」が行ったこと
研究チームがJADEPUFFERと命名したこのエージェントは、侵入からデータ暗号化・破壊まで、一切の工程を自律的に実行した。
侵入口はオープンソースのAIアプリ構築ツール「Langflow」の既知の脆弱性(CVE-2025-3248)だ。パッチはすでに公開されていたが、ネット上には未適用のLangflowサーバーが多数残っていた。こうしたサーバーはAPIキーやクラウド認証情報を抱えていることが多く、攻撃の足がかりとして格好の標的になる。
侵入後の動きは速い。Sysdigの記録によると、エージェントは以下の工程を順に実行した。
- ホスト内を探索し、AIプロバイダーキー、クラウド認証情報、暗号ウォレット、データベースパスワードを収集
- デフォルトパスワードのまま放置されていたストレージサーバーにも侵入
- 30分ごとに攻撃者のサーバーへ死活報告するバックドアを設置
- 別のデータベースサーバーにrootとしてログイン
- 2021年の脆弱性と変更されていないデフォルト署名キーを使ってサーバーの設定システムを掌握
- 1,342件の設定を暗号化し、元のデータを削除、Bitcoinを要求する身代金ノートを設置
「復号鍵なし」という残酷な結末
この攻撃の悪質な点がある。エージェントは暗号化の際にランダムキーを生成したが、そのキーを保存も送信もしなかった。画面に一度表示しただけで、それ以降は誰も持っていない。被害者が身代金を支払っても、データは戻らない。
エージェントはさらにデータベース自体を削除し、「データはすでに別の場所にコピーした」とコード内のコメントに書き残した。Sysdigはその形跡を確認できなかったと報告している。この「データを窃取した」という主張は、実際の流出を伴わずに被害者へ圧力をかけるダブルエクストーションの手口に似ているが、今回の事例ではSysdigが検証できなかったにとどまり、主張が意図的な虚偽だったのか、エージェントが操作に失敗したのかは判然としない。
「AIが書いた」とわかった理由
逆説的だが、AIが攻撃を行ったという証拠はコード自体が残した。各ステップに英語で詳細な説明が書き込まれており、人間のハッカーはそんなコメントを書かないが、LLMはコードコメントを生成しやすい傾向がある。
また、失敗からの回復速度が人間離れしていた。脅威リサーチディレクターのMichael Clarkによると、あるログイン失敗から正しい多段階の修正手順を完了するまでわずか31秒。Sysdigは攻撃全体を通じて600件以上の個別の意図的な操作を記録している。
「スキルの床」が消えた
Sysdigが強調するのは、JADEPUFFERが使ったテクニックの一つひとつは既知のものだということだ。新しい技術はない。重要なのは、モデルがそれらを自律的につなぎ合わせて完全な攻撃を完成させた点にある。
Clarkは「ランサムウェアを実行するスキルの床は、エージェントを動かすコストと同じになった」と書いている。窃取した認証情報でエージェントを走らせれば、そのコストはほぼゼロに近い。
なお、本件についてSysdigは一次ソースとなる脅威リサーチレポートおよび公式ブログを公開している。より詳細な技術的記録を参照したい場合はSysdig公式ブログも確認されたい。
防御側への示唆
わずかに明るい面もある。エージェントが自分の意図をコメントとして残す性質は、これまでなかった検知シグナルを防御側に与える。Sysdigはこの事例を危機ではなく「警告」と位置付けているが、エージェント型ツールが成熟するにつれ攻撃数は増えると予測している。
対処法は既存のセキュリティ原則と変わらない。脆弱性へのパッチ適用、管理システムの非公開化、クラウド認証情報をWebに面したマシンから切り離すこと。JADEPUFFERが突いたのも、これらの基本が守られていなかったことだ。
詳細はAI agent runs first end-to-end ransomware attackを参照していただきたい。