7月6日、The Decoderが「JADEPUFFER is the first agentic ransomware operation and it exposes old security sins at machine speed」と題した記事を公開した。この記事では、AIエージェントが自律的に侵入・認証情報窃取・DBデータ破壊を実行した世界初のエージェント型ランサムウェア攻撃「JADEPUFFER」について詳しく紹介されている。使われた手口は古典的な既知の脆弱性とデフォルトパスワードだけ——AIが変えたのは「攻撃が完結するまでの速度」だった。
AIが31秒で自己修正しながら侵入した
セキュリティ企業Sysdigが報告したこの事案で、最も衝撃的なのがAIの自律的な問題解決だ。
攻撃エージェントは管理者アカウントの作成を試みたが、ログインが失敗した。エージェントはエラーを診断し、破損したアカウントを削除して、新たに動作するアカウントをゼロから作り直した。この一連の自己修正が完了するまでの時間が、わずか31秒だった——ログイン失敗の検知から、エラー原因の特定・アカウント削除・再作成・ログイン確認までの全工程が含まれる。人間がエラーメッセージを読んで原因を特定し、修正スクリプトを書き直すには、それよりはるかに長い時間がかかる。
もう一つの「AIである証拠」も興味深い。生成されたコードの中に、特定のデータベースをなぜ先に削除したいのかを説明する自然言語コメントが含まれていた。人間の攻撃者がコメントをこのように書き残すことはほぼない。AIモデルは反射的にそうする。
侵入口はパッチ未適用のLangflow
最初の侵入口となったのは、AIアプリケーション構築ツールとして広く使われている**Langflowの既知脆弱性(CVE-2025-3248)だ。認証なしで任意コードをサーバー上で実行できるこの欠陥は、2025年4月にすでにパッチが提供されており**、米国のサイバーセキュリティ機関CISAも悪用が確認された脆弱性として公式カタログに追加していた。にもかかわらず、対象システムにパッチは適用されていなかった。
エージェントはこの欠陥を足がかりに認証情報を収集し、持続的なアクセスを確立。最終的にMySQLデータベースが稼働する別の本番サーバーに到達した。
データは事実上、復元不可能な状態にされた
攻撃の結果、1,342件の設定エントリが暗号化され、元のテーブルは削除された。身代金要求メモにはBitcoinアドレスとProton Mailのアドレスが記載されていた。
ただし、復号キーは一度表示されただけで保存も送信もされなかった。つまり身代金を払っても、データは戻らない。なお、記載されたBitcoinアドレスは開発者向けドキュメントによく登場するサンプルアドレスそのものであり、おそらくモデルの学習データから引っ張ってきたものだとSysdigは指摘している。
新しい手口はゼロ。既知の失敗を機械速度で連鎖させた
Sysdigが強調するのは、個々の攻撃手法には何も新しいものがなかったという点だ。長年知られている脆弱性と、変更されていないデフォルトパスワードが悪用されただけだ。新しいのは、AIモデルがそれらを自律的につなぎ合わせ、完全な恐喝オペレーションを単独で完結させた点にある。ランサムウェアの実行コストが、AIエージェントを動かすコストまで下がったことを意味する。
Keeper SecurityのCISO、Shane BarneyはメディアHackreadへの取材に対し、JADEPUFFERをSFではなく「機械速度での認証情報管理の失敗」として読み解くべきだと述べた。決定的な要因は新奇な攻撃技術ではなく、露出したシークレット、変更されていないデフォルトパスワード、過剰な特権アクセス、リアルタイム監視の欠如だったという。
Barneyが引用したKeeperの調査では、72%の組織が認証情報の不正使用をリアルタイムで検出できず、不正な特権アクセスに気づくまで数時間かかるケースが多いとされている。AIエージェントがログイン失敗から管理者アカウント確立まで1分以内で完了できる今、この検出の遅れは致命的になりうる。
Barneyの提言は明快だ。特権アクセスは時間制限を設け、個別タスクにスコープを絞るべきだ。シークレットは定期的にローテーションする保護されたボールトに格納する。そしてセッションは、被害が発生した後ではなく、アクティブな間にモニタリングする必要がある。
なお、本件はSysdigによる単独報告であり、現時点では被害組織や法執行機関、他のセキュリティ企業による独立した確認は存在しない。この点は留意が必要だが、報告された攻撃チェーン自体は既存の公知技術の組み合わせであり、技術的な再現可能性という観点では十分に現実的なシナリオとして受け止めるべきだろう。またSysdig自身がこうした自動攻撃の検知を目的とした製品を販売している点も、参照の際の背景として付記しておく。
詳細はJADEPUFFER is the first agentic ransomware operation and it exposes old security sins at machine speedを参照していただきたい。