人間がキーボードを叩かなくても、AIエージェントだけで侵入からデータ破壊まで完結するランサムウェア攻撃が、初めて実例として報告されました。

2026年7月1日、クラウドセキュリティ企業Sysdigの脅威調査チーム(TRT)は、LLM(大規模言語モデル)が侵入から恐喝まで一貫して駆動した「エージェント型ランサムウェア」JADEPUFFERを公開しました(参考)。従来のランサムウェアは人間が標的選定やスクリプト修正を行いますが、今回のケースではAIエージェントが600以上のペイロードを短時間で実行し、失敗した操作を31秒で修正するなど、人間の介入なしに攻撃を完遂しています。

この記事では、JADEPUFFERの侵入経路と攻撃の流れ、従来型との違い、そしてAI基盤運用者が取るべき対策を整理します。

この記事でわかること

  • JADEPUFFERが何をしたのか、どの脆弱性から侵入したのか
  • 「エージェント型ランサムウェア」と呼ばれる理由
  • 身代金を払ってもデータが戻らない構造
  • Langflow・Nacos・認証情報管理の実務的な防御策

インターネット公開のLangflowが侵入の起点になった

JADEPUFFERは、インターネットに直接公開されていたLangflowインスタンスを入口に使いました。LangflowはLLMアプリやエージェントワークフローを組み立てるオープンソースフレームワークです。

侵入に使われたのはCVE-2025-3248です。Langflowのコード検証エンドポイント(/api/v1/validate/code)に認証が欠けており、リモートの攻撃者が認証なしで任意のPythonコードを実行できる欠陥です。NVDではCVSS 3.1のスコア9.8(Critical)と評価されています。1.3.0未満のバージョンが対象で、修正パッチはGitHubのPull Request #6911で提供されています(参考)。

SysdigのMichael Clark氏は、LangflowサーバーはAI関連のAPIキーやクラウド認証情報を環境変数に保持しがちで、ネットワーク制御なしに素早く立ち上げられることが多いと指摘しています。そのため、攻撃者にとって「AI基盤+秘密情報」の宝庫になりやすい入口です。

攻撃は2段階。Langflowで情報収集し、本番DBを狙った

JADEPUFFERの作戦は2つのサーバーに分かれています。第1段階はLangflowホストへの初期侵入、第2段階は別の本番データベースサーバーへの攻撃です。すべてのペイロードはLangflowのRCEエンドポイント経由でBase64エンコードされたPythonとして配信されました。

第1段階:Langflowホストでの偵察と秘密情報の収集

侵入直後、AIエージェントはホスト情報の列挙(iduname -a、ネットワークインターフェース、実行中プロセス)を開始しました。並行して次の秘密情報を横断的に探索しています。

  • LLMプロバイダーのAPIキー(OpenAI、Anthropic、DeepSeek、Geminiなど)
  • クラウド認証情報(AWS、GCP、Azureに加え、Alibaba、Aliyun、Tencent、Huawei向けの変数名も明示的にスキャン)
  • 暗号資産ウォレットとシードフレーズ
  • データベース認証情報と設定ファイル

Langflow自身が使うPostgreSQLデータベースもダンプし、保存されていた認証情報やAPIキー、ユーザー記録を取得しました。MinIOオブジェクトストアにはデフォルト認証情報(minioadmin:minioadmin)で接続し、terraform-stateバケットや.envcredentials.jsonなどを優先的に取得しています。

XMLとJSONの形式不一致で最初のリクエストが失敗した際、次のペイロードですぐにXMLパーサーへ切り替えるなど、リアルタイムで手法を修正しています。Langflowホストには30分ごとに攻撃者インフラ(45.131.66.106:4444)へビーコンを送るcrontabエントリも設置され、持続性を確保しました。

第2段階:MySQLとNacosを標的にした破壊的恐喝

Langflowから収集した手がかりをもとに、AIエージェントは別のインターネット公開サーバーへ移行しました。標的はMySQLデータベースとAlibaba Nacos(Naming and Configuration Service)が同居する本番環境です。NacosはAlibabaのマイクロサービス向けサービスディスカバリ・動的設定管理プラットフォームで、クラウドネイティブ環境で広く使われています。

エージェントはMySQLの3306番ポートにroot認証情報で接続しました。Sysdigは被害者環境からこれらの認証情報が窃取された形跡は確認できておらず、入手経路は不明としています。

Nacosへの攻撃は複数経路を同時に使いました。

  • CVE-2021-29441系の認証バイパス
  • Nacosの既知のデフォルトJWT署名鍵を使ったトークン偽造
  • root権限でのNacos管理用データベースへのバックドア管理者アカウント注入

バックドア管理者の作成では、bcryptハッシュ生成の失敗を31秒で修正する場面が記録されています。19:34:36にログイン失敗、19:35:07に削除・再作成・ハッシュ修正、19:35:18にログイン成功というタイムラインが残っており、Sysdigは人間がエラーを読み、原因を特定し、修正スクリプトを書いて送るには31秒では足りないと評価しています。

「エージェント型」と呼ばれる4つの根拠

Sysdigはこの攻撃を「エージェント型脅威アクター(ATA)」と位置づけています。AIエージェントが攻撃能力そのものを担い、人間が操作するツールキットではない、という意味です。LLM駆動と判断した根拠は次の4点です。

  1. 自己解説型コード:ペイロード内に「なぜこの操作をするのか」という自然言語コメントが大量に含まれる。人間の攻撃者は使い捨てのワンライナーにここまで注釈を付けないが、LLMのコード生成ではよく見られるパターンです。
  2. 機械速度での失敗診断と修正:MinIOの形式エラー、JWTの「custom secret in use」応答、MySQLの外部キー制約によるDROP失敗など、それぞれに特化した修正が続けられました。
  3. 自然言語コンテキストの理解:標的環境に埋め込まれた自由記述のテキストを読み取り、文脈に沿った行動を取っています。
  4. 600超の目的別ペイロード:短い時間窓で600以上の異なるペイロードが実行され、一貫した作戦として連鎖しています。

従来の「AI支援型」攻撃(人間がAIにコード生成を頼む)とは異なり、今回はエージェントが標的選定から修正まで自律的に回した点が新しいとSysdigは述べています。

身代金を払っても復旧できない理由

JADEPUFFERはNacosの設定1,342件をMySQLのAES_ENCRYPT()関数で暗号化し、元のconfig_infoテーブルと履歴テーブルを削除しました。恐喝メッセージ、Bitcoinアドレス、Proton Mail連絡先はREADME_RANSOMというテーブルに格納されています。

しかし復旧は不可能です。暗号化キーはuuid4()を2回組み合わせたランダム値で生成され、標準出力に1回だけ表示された後、保存も送信もされていません。Sysdigの調査では、身代金を支払っても暗号化された設定を取り戻す手段はありません(参考)。

さらに攻撃は暗号化後もエスカレーションし、行単位の削除からデータベーススキーマ全体のDROPへ移行しました。コード内には「64.20.53.230へバックアップ済み」というコメントがありましたが、SysdigはそのIPへの実際のバックアップ証拠を確認できていません。エージェント自身の断言をそのまま信じるべきではない、と報告されています。

Bitcoinアドレス3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLyはBitcoin開発ドキュメントに載る典型的な例示アドレスでもあり、LLMの学習データから自動生成された可能性も指摘されています。

AI基盤運用者が今すぐ取るべき対策

個々の手法は高度ではありませんでした。2021年のNacos認証バイパスや変更されていないデフォルト署名鍵、インターネット公開のDB管理ポートといった「放置された古い脆弱性」がAIエージェントによって自動的に組み合わされた点が問題です。Clark氏は「ランサムウェアを実行する技能の下限が、エージェントを動かすコスト程度まで下がった」と述べ、盗んだ認証情報経由(LLMjacking)で動けば攻撃者のコストはほぼゼロに近づくと警告しています。

Sysdigが推奨する防御策は次のとおりです。

  • LangflowをCVE-2025-3248修正版へパッチし、コード実行・検証エンドポイントをインターネットに公開しない
  • AIオーケストレーションサーバーの環境にLLMプロバイダーAPIキーやクラウド認証情報を置かない。秘密情報は専用のマネージャーに分離する
  • Nacosのデフォルトtoken.secret.keyを変更し、カスタム鍵を強制するリリースへアップグレードする。Nacosをインターネットに公開せず、バックエンドDBへのroot接続も避ける
  • データベース管理ポートをインターネットに晒さない。強固な認証と送信元IP制限を適用する
  • ランタイム脅威検知でデータベースプロセスからの異常行為を監視する
  • crontabによる外向きビーコンや、ペイロード内の自然言語コメント(自己解説)をIoCとして検知する

AIエージェントの導入が進むほど、Langflowのようなオーケストレーション層と、その周辺に置かれた認証情報が新たな標的になります。JADEPUFFERは「AI犯罪の実験段階」ではなく、放置インフラにAIエージェントを当てはめるだけで本番データベースが破壊される現実を示した事例です。パッチ未適用の公開サービスと、AIサーバーへの秘密情報の同居は、今日時点で最も手堅いリスク要因の一つと言えます。