7月4日、BleepingComputerが「JadePuffer ransomware used AI agent to automate entire attack」と題した記事を公開した。この記事では、LLM(大規模言語モデル)エージェントがランサムウェア攻撃全体を自律的に実行したとSysdigが報告した事例について詳しく紹介されている。
AIエージェントが攻撃の全工程を自律実行
近年、AIを補助ツールとして活用するサイバー攻撃者の報告は増加しているが、攻撃の「全工程」をLLMエージェントが自律的に担ったとされる事例の技術的詳細が公開されるのは極めて珍しい。クラウドセキュリティ企業Sysdigの研究者が今回報告した「JadePuffer」は、偵察・認証情報窃取・ラテラルムーブメント・永続化・権限昇格・データ暗号化のすべてをLLMエージェントが単独で実行したランサムウェアオペレーションだ。LLMを悪用したサイバー攻撃の潮流が「生成AIによるコード補助」から「完全自律型エージェントによる攻撃実行」へと踏み込みつつあることを示す事例として、セキュリティコミュニティで注目を集めている。
特筆すべきは、このエージェントが攻撃中のエラーに対してリアルタイムで適応した点である。Sysdigは「ログイン失敗から有効な修正を実行するまで、わずか31秒だった」と報告している。人間のオペレーターが試行錯誤するのと同様の動作を、AIが自律的に行ったことになる。
初期侵入:Langflowの脆弱性を悪用
JadePufferの初期アクセスは、CVE-2025-3248の悪用によるものだ。これはLLMアプリ構築用のオープンソースフレームワーク「Langflow」に存在する、認証不要のリモートコード実行(RCE)脆弱性である。
この脆弱性は2025年4月1日にパッチが提供されており、同年5月にはCISAが実際の攻撃への悪用を確認・警告していた。インターネットに公開されたLangflowのエンドポイントは、クラウド認証情報やAPIキーを含みながらも最小限のハードニングしか施されていないケースが多く、格好の標的となった。
コード実行を得たAIエージェントは以下の偵察・収集動作を実行した:
- LangflowのPostgreSQLデータベースのダンプ
- ホスト情報の収集
- 環境変数・機密ファイルの探索
- 認証情報の取得
- MinIOオブジェクトストアの列挙
MinIOはAmazon S3互換のAPIを持つオープンソースのオブジェクトストレージで、自己ホスト型クラウドストレージ基盤として広く採用されている。その列挙においては、あるAPIリクエストがJSONではなくXMLを返した場合、次のペイロードがパース処理を自動修正するという適応的な動作も観測されている。
永続化・ラテラルムーブメント・暗号化
JadePufferはLangflowホスト上にcronジョブを設置し、30分ごとに攻撃者インフラへビーコンを送信する永続化を確立した。
その後、エージェントはAlibabaが開発したオープンソースのサービスディスカバリ・設定管理基盤「Nacos(Naming and Configuration Service)」を稼働させている本番MySQLサーバーへ横断した。NacosはマイクロサービスアーキテクチャにおけるDNS/gRPCベースのサービス登録・設定配布を担うミドルウェアで、Alibaba社内での大規模利用実績を持つ。エージェントはrootの認証情報を使用してこのサーバーへ侵入したが、その入手経路はSysdigも特定できていないという。
Nacosへの攻撃には複数のペイロードが使われ、認証バイパス脆弱性CVE-2021-29441(不正管理者アカウントの作成)の悪用も含まれていた。コンテナエスケープの試みを経て、最終的にランサムウェアペイロードが展開された。
暗号化処理はMySQLのAES_ENCRYPT()関数を用いて実行され、Nacosのサービス設定1,342件が暗号化された後、元のテーブルが削除された。Sysdigは以下のように記述している:
「エージェントはMySQLの
AES_ENCRYPT()を使って1,342件のNacosサービス設定をすべて暗号化し、元のconfig_infoテーブルと履歴テーブルを削除した上で、要求額・ビットコイン支払いアドレス・Proton Mailの連絡先を含む恐喝用テーブル(README_RANSOM)を作成した。」
なお、身代金ノートには「AES-256で暗号化した」と記載されているが、Sysdigは実際にはより弱いAES-128-ECBが使われた可能性が高いと見ている。さらに深刻なのは、暗号化鍵がランダム生成されたものの攻撃者インフラへ一切送信されていない点だ。これは被害者がたとえ身代金を支払っても攻撃者側に復号手段がなく、実質的にデータ復旧が不可能であることを意味する。ランサムウェア攻撃における身代金支払いの前提——「支払えばデータが戻る」——が成立しない設計になっており、LLMエージェントが攻撃ロジックを完結させる一方で、こうした運用上の矛盾を自律的には解消できていないことを示している。
さらに身代金ノートに記載されていたビットコインアドレスは、公開ドキュメントで広く使われているサンプルアドレスであることも判明した。LLMが学習データからそのまま再現した可能性が高い。
AIによる攻撃だと特定できた根拠
Sysdigが「これはAIエージェントによる攻撃だ」と判断した根拠として、以下の特徴を挙げている:
- 生成コード内に、動作の意図を説明する詳細な自然言語コメントが含まれていた
- 単純なリトライではなく、直前のエラー内容を考慮した上での高速な反復処理
逆説的に、こうした特徴はセキュリティソリューション側にとっての新たな検出シグネチャにもなり得る。AIが生成するペイロードに共通する構造的・言語的パターンを学習することで、エージェント型攻撃の早期検知につながる可能性がある。
「エージェント型脅威アクター」の時代
Sysdigはこの事例をもって、「Agentic Threat Actors(ATA)」の時代が到来したと結論づけている。高度な技術なしに破壊的なサイバー攻撃を実行できる敷居が下がりつつある中、今回の事例は「AIが攻撃を補助する」段階から「AIが攻撃を完遂する」段階への移行を示唆するものとして位置づけられている。一方で、暗号化鍵の送信忘れやサンプルアドレスの流用といった実装上の欠陥は、現時点でのLLMエージェントが持つ限界も浮き彫りにしている。こうした攻撃がより洗練されていく前に、防御側がエージェント型脅威への対策を整備できるかが問われている。
詳細はJadePuffer ransomware used AI agent to automate entire attackを参照していただきたい。