人間はほぼ関与せず、AIが偵察から暗号化まで完遂
米セキュリティ企業Sysdigが、AIエージェント(自律的に判断・行動するAIプログラム)が攻撃の実行部分をほぼ単独でやり遂げたランサムウェア(データを暗号化し身代金を要求するマルウェア)事件を報告しました。
侵入から暗号化、脅迫文の作成までをAIが自動でこなし、失敗すればわずか31秒で軌道修正したといいます。TechCrunch、BleepingComputer、CSO Onlineなど複数メディアの報道をもとに、「JadePuffer」と名付けられたこの事件の詳細と、サイバーセキュリティの今後への影響を読み解きます。
攻撃の概要 – Langflowの脆弱性から侵入
今回のAIエージェントは、オープンソースのLLM(大規模言語モデル)アプリ開発ツール「Langflow」に存在する未認証のRCE(リモートコード実行)脆弱性「CVE-2025-3248」を突いて、インターネットに公開されていたサーバーへの侵入に成功しました。
この脆弱性自体は2025年4月1日に修正パッチが提供済みでしたが、パッチを適用していないサーバーが標的にされた形です。侵入後、AIエージェントはLangflowのPostgreSQLデータベースをダンプ(丸ごと抽出)し、環境変数や認証情報を収集しました。
さらに、30分おきに攻撃者のサーバーへ通信するcronジョブ(定期実行タスク)を仕込み、いつでも再侵入できる持続的なアクセス経路(バックドア)を確保しています。この一連の手順は、経験豊富な人間の攻撃者が行う「偵察→侵入→永続化」というセオリー通りの流れであり、AIがこの型を正確に踏襲した点が専門家の間で注目されました。
横展開から暗号化まで – Nacosの管理者権限を奪取
初期侵入に成功したAIエージェントは、そこで得た認証情報をもとに横展開(ラテラルムーブメント、社内ネットワーク内で他のサーバーへ侵入範囲を広げる行為)を実行し、本番稼働中のMySQLサーバー上で動くAlibaba(アリババ)製のサービス管理ツール「Nacos」に到達しました。
ここでAIは既知の認証バイパス脆弱性「CVE-2021-29441」を悪用し、不正な管理者アカウントを作成。管理者権限を得たAIエージェントは、Nacosの設定情報1,342件をMySQLのAES_ENCRYPT関数で暗号化し、元の設定テーブルと履歴テーブルを削除しました。
その跡地には、身代金を要求するビットコインアドレスと脅迫文を記したテーブルが新たに作成されていました。以下が、今回の攻撃で確認された主なポイントです。
- 暗号化されたNacos設定項目は1,342件
- 攻撃全体を通じて展開されたペイロード(悪意あるコード)は約600件
- 脅迫文はAES-256暗号化を主張したが、研究者は実際にはより弱いAES-128-ECBが使われたとみている
- 暗号化キーはランダム生成され、攻撃者側のサーバーには一切送信されなかった
特に見逃せないのが最後の点です。暗号化キーが攻撃者側に渡っていないということは、たとえ身代金を支払ってもデータを復元する手段が存在しない可能性が高いことを意味します。金銭目的というより、AIエージェントによる攻撃実証そのものが目的だったのではないかとの見方も出ています。
「31秒」で見せた自己修復能力
今回の事件が世界的に注目を集めた最大の理由は、AIエージェントが見せた自律的なトラブルシューティング能力です。Nacosの管理者アカウント作成に一度失敗した際、AIは自らエラー原因を分析し、修正したペイロードを再送信してわずか31秒で成功させました。
攻撃コードには、AI自身が次に何をすべきか説明する自然言語のコメントが随所に残されており、これが人間の手動操作ではなくLLMによる自動生成コードであることの有力な証拠とされています。
レッドチーマー(自組織を攻撃者視点で検証する専門家)のヴィブム・デュベイ氏は「AIエージェントは何かがブロックされると、即座に戦術を変えることができる」と警鐘を鳴らしています。従来型の攻撃検知は、既知の攻撃パターンや固定的なシグネチャに依存する部分が大きく、状況に応じて戦術を変幻自在に変えるAIエージェント相手には後手に回りやすいという課題が浮き彫りになりました。
AIモデルの正体は謎 – 人間の役割はどこまで
興味深いことに、この攻撃を実行したAIエージェントがどのモデルをベースにしているかは、Sysdigの調査でも特定できていません。攻撃の過程でOpenAI、Anthropic、DeepSeek、Geminiなど複数のAIサービスのAPIキーが「戦利品」として盗まれていたことが分かっていますが、これは攻撃を実行したAI自体がどのサービスかを示すものではないとSysdigは説明しています。
マイクロソフトの研究者ジェフ・マクドナルド氏は、安全対策(セーフガード)を意図的に取り除いたオープンウェイト型モデル(重みが公開され誰でも改変できるAIモデル)が使われた可能性が高いとの見方を示しています。フロンティアモデル(最先端の商用AI)には通常、有害な指示を拒否する仕組みが組み込まれているため、規制の緩いモデルを土台に改造した可能性があるという分析です。
一方でSysdigのマイケル・クラーク氏は、完全な自律攻撃だったとする一部報道に対し「人間が今回の攻撃を設定し、指示を出し、インフラを準備した。そして標的を選んだのも人間だ」と強調しています。侵入の起点となったデータベースの認証情報自体も、事前の別の侵害によって人間が入手していたとみられ、AIが担ったのはあくまで技術的な実行フェーズだった点には注意が必要です。
専門家の見解 – 「革命ではなく進化」
サイバーセキュリティコンサルタントのプラシャント・シャルマ氏は、今回の事件を「革命というより進化だ」と評しています。認証情報の悪用、権限昇格、横展開、データ窃取、ランサムウェア展開といった行為はAIが行っても人間が行っても検知可能な痕跡を残すため、既存のEDR(エンドポイント検知・対応)やXDR(拡張検知・対応)といった防御ツールは依然として有効だという指摘です。
とはいえ、攻撃の立案から実行までの時間が人間主導の攻撃に比べて大幅に短縮される点は無視できません。専門家の間では、個別のツールを監視するだけでなく、ID活動・権限昇格・認証パターンといった「振る舞い」全体を横断的に監視する検知体制への移行が急務だという声が強まっています。攻撃側の意思決定速度が上がれば上がるほど、防御側にも同等以上の即応性が求められることになります。
補足情報
今回悪用された「Langflow」は、プログラミング知識がなくてもAIアプリを組み立てられるビジュアル開発ツールとして人気を集めているオープンソース製品です。もう一方の「Nacos」は、Alibabaが開発したクラウドサービス向けの設定管理・サービス発見ツールで、中国系企業を中心に世界中で広く採用されています。
いずれも便利さゆえに導入が進む一方、パッチ未適用のまま放置されているケースが少なくないことが、今回のような侵入を許す土壌になっていると指摘されています。「JadePuffer」という名称は、Sysdigが独自の命名規則に基づいて付けたコードネームで、実在の生物や地名に由来するものではありません。
まとめ
今回の「JadePuffer」事件は、標的選定やインフラ準備こそ人間が担ったものの、侵入・横展開・暗号化・脅迫文作成という技術的な実行フェーズをAIエージェントがほぼ単独でこなした初の事例として記録されました。
失敗から31秒で立て直す適応力は、防御側の対応速度にも厳しい要求を突きつけています。使用モデルの正体は不明なままですが、今後は同種の「エージェント型攻撃」の模倣も懸念され、企業には振る舞い検知への投資とパッチ管理徹底が急務となりそうです。