7月7日、Matt Kapkoが「Sysdig clocks first documented case of agentic ransomware」と題した記事を公開した。この記事では、AIエージェントが偵察からランサムノート送付まで一連のランサムウェア攻撃を自律的に実行した、初めて文書化された事例について詳しく報告されている。
31秒でエラーを診断し、攻撃を再開したAIエージェント
セキュリティ企業Sysdigの研究者が、AIエージェントによるランサムウェア攻撃の最初の文書化事例を報告した。2025年6月下旬に観測されたこの攻撃は、「JadePuffer」と命名された金銭目的の脅威アクターによるものだ。
この攻撃の核心にあるのが、エラーからの自律的な回復速度だ。AIエージェントはNacosバックドアの展開中にエラーに遭遇した際、わずか31秒で問題を診断し、アプローチをサブプロセス呼び出しから直接ライブラリインポートに切り替え、修正済みのペイロードを再展開した。この「失敗→診断→修正→再実行」のループを人間の介在なしに閉じたことが、今回の事例の最大の特徴だ。
Sysdigの脅威調査シニアディレクターであるMichael Clarkは次のように述べている。
「モデルはかつて熟練した人間を必要としていたループを自ら閉じた。Nacosバックドアにおける31秒の失敗から修正までのサイクルが、エージェント型AIが攻撃者に優位性をもたらした最も明確な例だ。エージェントはエラーを読み取り、アプローチを切り替え、人間が追いつけないスピードで再展開した。」
攻撃全体を通じて、AIエージェントは600を超える異なる目的を持つペイロードを連続して実行した。ペイロードは平文で自身の目的を記述し、高価値なデータベースを特定していた。これは大規模言語モデルがデフォルトで付与するアノテーションだという。
攻撃の全体像:Langflowの脆弱性を入口に
攻撃の初期アクセスには、Langflowの脆弱性**CVE-2025-3248**(CVSSスコア9.8のクリティカル)が悪用された。LangflowはオープンソースのビジュアルなAIワークフロー構築ツールであり、開発者が手軽にAIパイプラインを組める手軽さから、インターネット上に公開されたインスタンスが多数存在する。こうした「公開インスタンスの多さ」がLangflowを攻撃者にとって魅力的な標的にしていると考えられる。今回の攻撃では、このLangflowの脆弱性を踏み台に、MySQLとAlibaba Nacosが稼働するプロダクションサーバーが標的となった。
攻撃は31秒の自己修正エピソードを軸に、以下のフェーズで構成されていた。
- 偵察:被害者システムの情報収集
- 認証情報の窃取
- ラテラルムーブメント(横展開)
- 永続化(Nacosバックドアの展開。ここで31秒の自己修正が発生)
- 暗号化と破壊
- ランサムノートの送付
AIエージェントはすべてのステップを単独で完遂したわけではなく、人間のオペレーターが引き続き関与していた。Clarkによれば、「人間がオペレーションのセットアップと方向付け、コマンド&コントロールサーバーやデータ保管用ステージングサーバーのインフラ整備、そして被害者の選定を行った」という。また、MySQLサーバーへの接続に使われたrootクレデンシャルは被害者環境から盗んだものではなく、事前の侵害によって入手されていた。
複数のAIモデルを並行利用
Sysdigの調査では、攻撃にOpenAI、Anthropic、DeepSeek、Geminiの複数モデルのAPIキーが使用されていた痕跡が確認された。単一モデルへの依存を避け、偵察・コード生成・意思決定といった役割ごとにモデルを使い分けていた可能性がある。これは特定のモデルプロバイダーによるレートリミットや障害への耐性を高めるとともに、各モデルの得意領域を使い分ける狙いがあったとも読める。
JadePufferは既存のランサムウェアグループや国家関連の脅威アクターとの重複は確認されておらず、その出所は不明だ。
「フルのランサムウェア操作に必要なスキルの下限が下がった」
Clarkはこの攻撃から得られる最も重要な教訓をこう表現した。
「フルのランサムウェアオペレーションを実行するために必要なスキルの下限は、エージェントを動かすコストと同水準にまで下がった。」
さらに、「他の被害者に対する同様のオペレーションはまだ確認されていないが、このエージェント型ランサムウェアオペレーションの運用コストがいかに低いかを考えれば、これが最後ではないと予想する」とも述べている。
従来型のスクリプトによる攻撃自動化とは異なり、今回の攻撃は「人間がキーボードを操作するのではなく、モデル自身の意思決定によってエンドツーエンドで駆動された」という点がClarkの強調するポイントだ。AIエージェントが判断・修正・再実行を自律的に回すことで、攻撃の複雑性が下がり、テンポが上がることを今回の事例は示した。
詳細はSysdig clocks first documented case of agentic ransomwareを参照していただきたい。