7月2日、HackReadが「Sysdig Details JADEPUFFER, the First Documented Agentic Ransomware Operation」と題した記事を公開した。この記事では、LLMエージェントがLangflowのRCE脆弱性を起点に自律的にランサムウェア攻撃を完遂した、初めて文書化されたエージェント型ランサムウェア操作「JADEPUFFER」について詳しく紹介されている。以下に、その内容を紹介する。
人間不在で完結したランサムウェア攻撃
ランサムウェア攻撃には通常、ターゲット選定・認証情報のテスト・コードのデバッグなどに人間の関与が必要だ。しかしSysdigの脅威調査チームは、その人間の役割をLLMエージェントが代替し、初期侵入からデータ破壊・恐喝まで自律的に実行した攻撃キャンペーンを初めて確認・記録した。
この攻撃者はSysdigに「JADEPUFFER」と命名され、「エージェント型脅威アクター(agentic threat actor)」と定義されている。人間がツールキットを操作するのではなく、AIエージェント自身が意思決定と実行を担っている点が従来と異なる。
侵入口はLangflowのCVSS 9.8脆弱性
攻撃の入口は、Langflowのコード検証エンドポイントに存在する認証不備の脆弱性 CVE-2025-3248(CVSSスコア: 9.8 Critical) だ。LangflowはオープンソースのLLMアプリケーション・エージェントワークフロー構築フレームワークで、この脆弱性により未認証のリモート攻撃者が任意のコードを実行できる。
侵入後、エージェントは以下を順に実行した:
- システム情報の列挙
- APIキー・クラウド認証情報の探索
- LangflowのPostgresデータのダンプ
- 内部サービスへの到達確認
- デフォルト認証情報を使ったMinIOストレージへの接続試行
これらのペイロードはBase64エンコードされたPythonコードとして、LangflowのRCEエンドポイント経由で送り込まれた。
31秒で自己修正した「自律性の証拠」
侵害したLangflowホストを足がかりに、エージェントはMySQLとAlibaba Nacos(サービスレジストリ・動的設定管理ミドルウェア)を公開していた本番サーバーに移動した。Nacosの旧バージョンには、User-Agentヘッダーを偽装することで認証をバイパスできる CVE-2021-29441 が存在しており、これを悪用した。
Sysdigが今回の攻撃が自律的と判断した最大の根拠が「31秒の自己修正」だ。エージェントはNacos管理者アカウントをbcryptハッシュ付きで作成しようとしたが、ログイン確認で失敗。31秒後に修正済みペイロードを発行し、誤ったアカウントを削除、異なる方法でハッシュを生成し直してアカウントを再作成、ログイン確認まで完了させた。
エラーを検知し、修正内容を判断し、再実行する——この一連のフィードバックループが人間のオペレーターなしに完結している点を、Sysdigは自律性の根拠として挙げている。
データを「復元不可能な形」で破壊
管理者権限を取得したエージェントは、MySQLのAES_ENCRYPT関数を使ってNacosの設定アイテム1,342件を暗号化し、元の設定テーブルとヒストリテーブルを削除した。そしてREADME_RANSOMというテーブルを作成し、ビットコインアドレスとProton Mailの連絡先を記載した身代金メモを残した。
Sysdigが指摘している重要な点は、暗号化キーが一度出力されただけで保存も送信もされていないことだ。つまり身代金を支払っても設定データは復元できない構造になっている。
また、破壊的ペイロードのコメント内には「データを64.20.53.230にバックアップ済み」と記載されていたが、Sysdigはそのデータが実際にそのIPへ送信された証拠を発見できなかった。データ奪取の証拠を偽装した可能性がある。
セキュリティ専門家の見解
Keeper SecurityのCISO、Shane Barneyは「この事案はSFの話ではなく、機械速度で発生した認証情報管理の失敗として読むべきだ」と述べている。公開されたシークレット、変更されていないデフォルト認証情報、オープンな特権アクセス、リアルタイムのセッション可視性の欠如——これらの基本的な問題が根本原因であり、新奇なエクスプロイトチェーンよりも重要だという見方だ。
また、Barneyは72%の組織がリアルタイムで認証情報の不正使用を検出できないというKeeper Securityの調査結果を引用している。エージェントがログイン失敗から管理者権限取得まで1分以内に移行できる状況では、この検出の遅れが致命的になる。
Black DuckのプリンシパルサイバーセキュリティエンジニアであるBen Ronalloは、Langflowの脆弱性はこのキャンペーンよりずっと前から公開されていたと指摘する。パッチ適用の優先度と実行速度こそが最初に対処すべき問題だとし、Langflowを公開しているシステムはすぐにインシデントレスポンスを起動し、ログをSysdigのIOC(侵害の痕跡)と照合すべきと警告している。
さらにRonalloは、調査を最初の侵害ホストで止めないことを強調している。今回の事案ではLangflowは「玄関」に過ぎず、本来のターゲットは別の本番データベースサーバーだった。侵害されたホストがネットワーク内のどのシステムに到達できたかをマッピングする必要がある。
詳細はSysdig Details JADEPUFFER, the First Documented Agentic Ransomware Operationを参照していただきたい。
