記事のサマリー(TL;DR)
- Sysdigが「初のAIエージェント型ランサムウェア」JadePufferを記録。Langflowの既知脆弱性を悪用しMySQLサーバーへ侵入、1,300件超の設定レコードを暗号化
- AIエージェントが技術的実行を担ったのは事実だが、被害者選定・C2サーバー等インフラ整備・事前に入手した認証情報の提供は人間が行った
- 攻撃に使われたモデルは特定できず。回収したOpenAI・Anthropic・DeepSeek・Geminiのキーは「モデルの正体」ではなく「盗んだ戦利品」であったことが後に判明
国内LLMアプリ開発・クラウドセキュリティ担当者が注目すべき攻撃ベクター
JadePufferが侵入に使ったのはLangflow(LLMアプリを構築するオープンソースのノーコード/ローコードツール)の既知の脆弱性です。Langflowは国内でも生成AI活用の実験環境や社内PoC基盤として急速に導入が進んでおり、「とりあえず動かす」フェーズのままパッチ未適用で公開サーバーに置かれているケースが少なくありません。
今回の攻撃が示す実務上の教訓は3点です。第一に、Langflow等のオープンソースLLMオーケストレーションツールは定期的なバージョン管理とネットワーク分離が必要です。第二に、クラウド環境に保管されたAPIキー(OpenAI・Anthropic・Google Gemini等)や暗号資産ウォレット情報はAIエージェントの「盗取対象」として明示的に認識し、シークレット管理ツール(AWS Secrets Manager、GCP Secret Managerなど)での保護を徹底する必要があります。第三に、MySQLをはじめとするデータベースの管理者権限は最小権限原則で運用し、既知の権限昇格CVEへのパッチ適用を優先する必要があります。「AIが動かしているから人間より速い」という現実は、防御側にとっても自動化・高速化が必要であることを意味します。
詳細
「ノーヒューマン」報道は不正確だった
先週、クラウドセキュリティ企業Sysdigの研究者たちは、「JadePuffer(ジェイドパファー)」と名付けられた攻撃を初の既知「エージェント型ランサムウェア」として発表しました。AIエージェントが人間のオペレーターなしに、脆弱なサーバーへの侵入・認証情報の窃取・ネットワーク内の横断移動・ファイルの暗号化・身代金メモの作成まで、一連の技術的実行を担ったとされます。
しかしSysdigの脅威調査シニアディレクターMichael Clark氏がCyberScoopのインタビュー(月曜日)で補足説明したところ、人間は「技術的実行」からは外れていたものの、攻撃の設計・標的選定・インフラ(C2サーバー・盗難データのステージングサーバー)の整備は人間が担っていたことが明らかになりました。
「さらに、被害者のデータベースへの侵入に使われた認証情報は、AIエージェントが自ら収集したものではない。別の事前侵害によって誰かが入手し、作戦に渡したものだ」とClark氏は述べています。
技術的詳細:Langflowの脆弱性とMySQL権限昇格
攻撃の流れは以下の通りです。
- LLMアプリ構築ツールLangflowの既知の脆弱性を突いて侵入
- 本番MySQLサーバーへ移動し、別の既知の欠陥を悪用して管理者権限を取得
- 1,300件超の設定レコードを暗号化
- 自ら生成した身代金メモとBitcoinアドレスを残置
際立っていたのはその速度と透明性です。失敗したログインを修正するまでの時間はわずか31秒。エージェントは処理の全過程にわたって自身の推論を自然言語のコードコメントとして記述していました。Sysdigは標的の組織を開示していません。
「複数モデル使用」報道の訂正
Clark氏が当初「複数モデルが使われた」と語り、OpenAI・Anthropic・DeepSeek・GeminiのAPIキーが回収されたと述べたことから、「複数のフロンティアモデルが攻撃を動かした」という解釈が広まりました。
しかしTechCrunchへの電子メールでClark氏は訂正しています。「エージェントはLangflowホスト上で価値あるもの——プロバイダーAPIキー、クラウド認証情報、暗号資産ウォレット、データベース設定——を一括して収集した。それらのプロバイダーキーは盗品の一部に過ぎない。攻撃者が何を価値あると判断したかを示すが、どのモデルが意思決定をしていたかは示さない」
JadePufferを実際に動かしていたモデルについて、Sysdigは特定できておらず、システムプロンプトや設定も把握していないと述べています。
「オープンウェイトモデル」説とスケール懸念
Microsoftの研究者Geoff McDonald氏がLinkedInで提示した仮説では、フロンティアモデルのセーフティ層は自身のレッドチーム経験から比較的堅牢であるとし、安全性訓練を除去したオープンウェイトモデルが今回の攻撃に使われた可能性が高いと指摘しています。Sysdigの報告はこれを確認も否定もしていません。
McDonald氏はまた、「ランサムウェアキャンペーンはいまや人間の労力よりも攻撃者の予算によって制約される」と警告し、「数千〜数万の同時並行キャンペーン」の可能性に言及しました。
ただしClark氏が月曜日に述べた内容とは若干のズレがあります。被害者の選定・インフラ整備・認証情報の入手のたびに人間の関与が必要であれば、そこがボトルネックとなるためです。それでも同氏はCyberScoopで「エージェントを動かすコストが極めて安価であることを考えると、同様の攻撃が他の被害者にも広がると予想している」と述べています。