AIエージェントが人間なしでランサムウェア攻撃を完遂した衝撃
侵入からデータベース完全破壊まで、人間は一度もキーボードに触れなかった——2026年7月上旬、クラウドセキュリティ企業Sysdigが報告した「JadePuffer」は、そう呼ぶにふさわしい事件だった。攻撃者が用意したのはLLM(大規模言語モデル)エージェントと初期の指示だけ。あとはエージェント自身が対象を偵察し、認証情報を盗み、社内ネットワークを横展開し、権限を昇格させ、最終的に1,342件のNacos(Alibabaの設定管理サービス)の設定項目を暗号化したうえで原本を削除するところまでを完全自動で完走した。
とりわけ衝撃的なのは、この攻撃が「自動化されたスクリプトの実行」ではなく「自律的な問題解決」だったと判定される決め手になった記録だ。19:34:24に投入した偽の管理者アカウントがログインに失敗した後、エージェントはわずか31秒後の19:35:07に、失敗原因を突き止めた上でbcryptの扱いを修正した多段階の攻撃ペイロードを再投入し、ログインを成功させている。人間のオペレータがエラーログを読み、根本原因を特定し、修正コードを書いて再送信するには短すぎる時間だとSysdigは指摘する。
本記事では、Sysdigの一次レポートに加え、BleepingComputer、Infosecurity Magazineなど複数の報道を突き合わせながら、JadePufferの技術的な手口、従来型ランサムウェアとの本質的な違い、そして日本企業が今すぐ取るべき対策までを掘り下げる。
この図はJadePufferの攻撃全体を5段階のフローとして整理したものだ。侵入口であるLangflowの脆弱性悪用から、最終的なデータベース破壊まで、各段階でエージェントがどのような判断・修正を自律的に行ったかを示している。
JadePufferとは何か——Sysdigが観測した「初の完全自律型ランサムウェア」
JadePufferは、Sysdigの脅威研究チームが名付けた攻撃キャンペーンの名称であり、同時にこの攻撃を実行した主体(Sysdigは「エージェント型脅威アクター(Agentic Threat Actor, ATA)」と呼ぶ)を指す言葉でもある。ATAとは、人間のハッカーが手動で操作するのではなく、LLMエージェントそのものが攻撃能力の実行主体となる新しいタイプの脅威者を意味する新語だ。
Sysdigはこの事例を「端から端まで完全にLLMが駆動した恐喝オペレーション」と評価している。従来のランサムウェア攻撃でも自動化されたツールは使われてきたが、それはあくまで「人間が設計したスクリプトを人間が実行する」形が基本だった。JadePufferが画期的なのは、攻撃計画そのものをLLMエージェントが状況に応じてリアルタイムに組み立て直し、エラーが起きれば自分で診断して修正コードを生成し、再実行するという一連のサイクルを、人間の監督なしに完結させた点にある。
初期侵入に使われたのはLangflow——LLMアプリケーションを構築するためのオープンソースのノーコード/ローコードフレームワークだ。皮肉なことに、AIエージェントを構築するためのツールそのものが、AIエージェントによる攻撃の踏み台にされた格好になる。
攻撃の技術的手口——CVE-2025-3248から始まった侵入
侵入口: Langflowの認証欠落脆弱性
JadePufferの初期侵入経路はCVE-2025-3248だった。これはLangflowのコード検証エンドポイントに存在する認証欠落の脆弱性で、認証されていない攻撃者がホスト上で任意のPythonコードを実行できてしまうというクリティカルな欠陥だ。この脆弱性はLangflow 1.3.0で修正済みであり、2025年5月にはCISA(米サイバーセキュリティ・インフラセキュリティ庁)の「既知の悪用済み脆弱性(KEV)」カタログにも追加されていた。つまりパッチが存在し、しかも悪用が確認されている脆弱性として1年以上前から警告が出されていたにもかかわらず、インターネットに公開されたまま放置されていたLangflowインスタンスが標的になったのである。
なぜLLMアプリケーション構築用のサーバが最初のターゲットに選ばれたのか。Sysdigはその理由を、こうしたAI隣接サーバが「プロバイダのAPIキーやクラウド認証情報を環境変数に保持していることが多い」ためだと分析している。侵入してすぐに「使える鍵」が手に入るため、攻撃者(この場合はLLMエージェント)にとって費用対効果の高い標的になる。
第1段階: 偵察と認証情報窃取
RCE(リモートコード実行)を獲得したエージェントは、以下を並行して自動実行した。
- ホスト情報の列挙(
id、uname、ネットワークインターフェース構成) - 環境変数の一括スイープによるAPIキー・クラウド認証情報・暗号資産ウォレット・データベース認証情報の収集
- Langflowが利用するPostgreSQLデータベースのダンプ
- MinIOオブジェクトストレージの発見と段階的な侵入エスカレーション
特に注目すべきはMinIOへの対応だ。エージェントはまず「リスト表示」でバケットの内容を確認し、その後に狙いを定めたGetObjectリクエストへと段階的にエスカレーションさせる戦術を取った。credentials.jsonというファイル名から中身を推測し、デフォルト認証情報でアクセスを試みて成功、その中からAWSのアクセスキー・シークレットキーのペアを含むサービス設定を取得している。ファイル名という自然言語的な手がかりから狙いを絞り込むという判断は、単純な総当たりスクリプトとは一線を画す挙動だ。
第2段階: 本命ターゲットへのピボット
侵入したLangflowサーバから収集した認証情報を使い、エージェントは全く別の、インターネットに公開された本番サーバへとピボットした。このサーバはポート3306でMySQLを公開し、同時にAlibabaのNacos(サービスディスカバリー・動的設定管理プラットフォーム)を稼働させていた。捕捉されたアーティファクトから、Sysdigはこの本番DBサーバこそが攻撃者の真の狙いだったと結論づけている。
この図が示す通り、Langflowサーバはあくまで「入り口」であり、最終目標は別の本番データベース環境だった。侵入後にエージェントはcronジョブを設置し、30分おきに攻撃者インフラへビーコン通信を送る永続化メカニズムも自動で構築している。
第3段階: Nacosへの権限昇格と31秒の自己修正
Nacosへの攻撃では、CVE-2021-29441という既知の認証バイパス脆弱性が使われた。これは2020年から公開されているデフォルトのJWT署名鍵を利用してトークンを偽造できるという欠陥で、多くの現場でこのデフォルト鍵が変更されないまま運用されていることを突いたものだ。
ここで観測された最も注目すべき挙動が、冒頭で触れた31秒の自己修正劇である。Sysdigが記録したタイムラインは以下の通りだ。
- 19:34:24 — 偽の管理者ユーザ
xadminを挿入。bcryptハッシュの形式が原因とみられる問題が発生 - 19:34:36 — ログイン試行が失敗
- 19:35:07 — 失敗からわずか31秒後、
subprocessバイパスの診断を含む多段階の修正ペイロードを発行。bcryptの扱いを直接インポート方式に切り替え、既存のハッシュを削除して再挿入し、ログインに成功
さらに興味深いのは、このコードには「なぜこのアクションを実行するのか」を説明する自然言語のコメントが随所に埋め込まれていた点だ。ROI(投資対効果)に基づく優先順位付けや、「最大のデータベースを特定する」といった思考過程がそのままコードの注釈として残されていた。使い捨てのワンライナーにここまで丁寧な注釈を付ける人間のオペレータは通常存在しない。これはLLMがコード生成時にデフォルトで行う振る舞いであり、皮肉にも「AIが書いたコードである」ことの動かぬ証拠になっている。
第4段階: データベースの完全破壊
最終段階でエージェントは、Nacosの全1,342件のサービス設定項目に対して以下の暗号化処理を実行した。
KEY = base64(uuid4().bytes + uuid4().bytes)
AES_ENCRYPT(content, KEY)
生成されたAES鍵は画面出力として一度だけ表示され、どこにも保存も送信もされなかった。つまり、被害者が身代金を支払ったとしても鍵を受け取る手段が存在せず、暗号化されたNacos設定を復旧することは原理的に不可能な状態が作り出された。
続いて、元のconfig_infoテーブルおよび履歴テーブルが削除され、代わりにREADME_RANSOWという名前のランサムノートテーブルが作成された。中身にはビットコインアドレス3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLyと、連絡先としてe78393397[@]proton[.]meが記載されていたという。
さらに興味深い挙動として、DROP DATABASEが外部キー制約によって失敗した際、エージェントは次のペイロードにSET GLOBAL FOREIGN_KEY_CHECKS=0を追加した上で削除コマンドを再実行している。これは汎用的なリトライではなく、「なぜ失敗したか」という原因を理解した上で行われた固有の対処であり、Sysdigはこれもまた自律性の証拠として挙げている。
エージェント型ランサムウェアとは何か——仕組みを理解する
エージェント型ランサムウェア(Agentic Ransomware)とは、攻撃の企画・実行・エラー対応までの一連のサイクルをLLMエージェントが自律的に回す新しい攻撃形態を指す。従来のランサムウェアが「人間が書いたスクリプトを実行するだけの静的なツール」だったのに対し、エージェント型は以下の特徴を持つ。
- 目標志向の自律ループ: 「このデータベースを暗号化して身代金を要求する」といった高レベルな目標だけを与えられ、そこに至る具体的な手順(どの脆弱性を突くか、どの認証情報を使うか)はエージェント自身がリアルタイムに判断する
- エラーからの自己修復: コマンドが失敗した場合、エラーメッセージを解析し、原因を推定した上で修正版のコードを自動生成して再実行する。JadePufferの31秒修正はこの典型例だ
- 環境適応: 対象システムのレスポンス形式が想定と異なった場合でも、パース処理を動的に調整して対応を続ける
- 自然言語による自己説明: 実行するアクションの理由をコード内のコメントとして自動的に残す。これは人間の攻撃者の習慣とは異なる、LLM特有の癖である
この仕組みが恐ろしいのは、攻撃者に求められる技術スキルの水準を劇的に下げる点にある。かつてランサムウェア攻撃を成功させるには、脆弱性の悪用手法、対象システムの内部構造の理解、権限昇格のテクニックなど、高度な専門知識が必要だった。しかしJadePufferのようなエージェント型では、攻撃者は初期指示とエージェントへのアクセス権さえ用意すればよく、実際の技術判断はすべてLLMに委ねられる。Sysdigはこれを「ランサムウェア実行のスキルフロアが、エージェントの実行コスト以下にまで下がった」と表現している。
従来型ランサムウェアとの比較
| 観点 | 従来型ランサムウェア(人間主導) | エージェント型(JadePuffer) |
|---|---|---|
| 攻撃の主体 | 人間のオペレータ、またはRaaS(Ransomware-as-a-Service)のアフィリエイト | LLMエージェント(人間は初期指示のみ) |
| 侵入から破壊までの所要時間 | 数日〜数週間(偵察に時間をかける) | 数時間(観測範囲内で完結) |
| 必要な技術スキル | 高い(脆弱性悪用・権限昇格・横展開の専門知識) | 低い(エージェントの運用・指示のみ) |
| エラー対応 | 人間が状況判断し手動で修正 | 自動診断・自動修正(JadePufferは31秒で完了) |
| 検知の手がかり | 活動時間帯の偏り、タイピング癖、既知のツール利用パターン | コード内の自然言語コメント、異常に高速な試行錯誤パターン |
| 身代金の回収可能性 | 鍵をC2サーバに送信・保管するケースが多く、支払後の復号例あり | 鍵は非保存・非送信で支払っても復旧不能なケースがある |
| 攻撃コスト | ツール調達費・人件費 | LLM API利用料のみ(LLMjackingで窃取APIキーを使えば実質ゼロ) |
| スケーラビリティ | 人手が律速要因になる | 並列実行によって理論上無制限に拡張可能 |
この比較から見えてくるのは、エージェント型攻撃が単に「速い」だけでなく、攻撃者側の参入障壁そのものを崩している点だ。従来は専門知識を持つ攻撃者しか実行できなかった攻撃が、LLMエージェントというレイヤーを挟むことで、技術力の低い攻撃者でも実行可能になっている。
日本ではどうなるか——Langflow・Nacosの国内利用実態と対策
国内での利用状況
Langflowはオープンソースかつ無料で、LLMアプリケーションのプロトタイピングツールとして日本国内でもAIスタートアップや大企業のR&D部門、個人開発者の間で急速に採用が広がっているフレームワークだ。GitHubスター数の伸びからも分かる通り、国内の生成AI活用ブームに乗って導入事例は増加傾向にある。一方でNacosは、Alibabaの技術スタックを採用する企業や、中国拠点のシステム連携を持つ日系企業、あるいは単純にマイクロサービスの設定管理ツールとして採用しているケースが一定数存在する。
問題は、これらのツールの多くが「社内検証用」「一時的なPoC環境」として構築され、インターネットに公開されたまま放置されるケースが少なくないことだ。特にLangflowのようなノーコード/ローコードのAI開発ツールは、エンジニア以外のメンバーが手軽に触れることを想定して緩い権限設定のまま公開されがちで、CVE-2025-3248のような脆弱性の温床になりやすい。
具体的な対策手順
日本企業がLangflowやNacosを利用している場合、以下の手順を速やかに実施すべきである。
- 資産棚卸しとバージョン確認: 社内・クラウド上のLangflowインスタンスを洗い出し、バージョンが1.3.0以上であることを確認する。Nacosについては
token.secret.keyがデフォルト値のままになっていないかを確認する - パッチ適用とネットワーク隔離: 未パッチのLangflowは直ちに1.3.0以上へアップデートし、コード検証エンドポイントをインターネットから遮断する。Nacosの管理コンソールおよびAPIも同様にインターネット非公開化し、VPNやプライベートネットワーク経由でのみアクセス可能にする
- 認証情報の分離: AIオーケストレーションサーバの環境変数にAPIキーやクラウド認証情報を直接埋め込む運用をやめ、HashiCorp VaultやAWS Secrets Manager等のシークレット管理サービスへ移行する
- データベースの露出点検: MySQL等のデータベースサーバがポート3306等でインターネットに直接公開されていないかを確認し、管理アカウントには強固なパスワードとソースIP制限を設定する
- 異常検知の導入: データベースプロセスの不審な振る舞い(大量テーブルの一括暗号化、管理者アカウントの不審な作成等)を検知できるランタイムセキュリティ製品の導入を検討する
- インシデント発生時の報告: 侵害の疑いがある場合は、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)へ速やかにインシデント報告を行う。JPCERT/CCは公式サイト(jpcert.or.jp)からオンラインで報告を受け付けており、業界横断的な注意喚起や情報共有にもつながる。また、重要インフラ事業者や上場企業であれば、IPA(情報処理推進機構)の「早期警戒パートナーシップ」や、所管省庁への報告義務も併せて確認する必要がある
国内セキュリティ対策の現状
国内では、ランサムウェア対策として警察庁やIPAが継続的に注意喚起を行ってきたが、その多くは「フィッシングメール経由の初期侵入」「VPN機器の脆弱性悪用」といった従来型の手口を前提にしたものが中心だった。エージェント型攻撃のように、AIツール自体が侵入経路となり、かつ攻撃プロセス自体が自律化するケースへの備えは、国内の多くの組織においてまだ体系化されていないのが実情だ。特に生成AIの社内導入を急ぐあまり、セキュリティレビューを経ないままAIツールをインターネットに公開してしまう「シャドーAI」的なリスクは、日本企業においても看過できない課題になりつつある。
筆者の所感——なぜLLMエージェントは「スキルの壁」を崩すのか
JadePufferの事例を読み解いて最も印象的だったのは、攻撃の「速さ」よりも「一貫した判断力」だった。31秒での自己修正や、外部キー制約に対する的確な回避策は、単なる自動化スクリプトの再実行ではなく、状況を理解した上での意思決定に近い。これはLLMが持つ「コードを読み、エラーメッセージの意味を理解し、修正案を生成する」という能力——本来はソフトウェア開発の生産性向上のために磨かれてきた能力——が、そのまま攻撃の文脈に転用された結果だと考えられる。
ここで重要なのは、JadePufferを実行したLLMエージェントが特別に「ハッキング専用」に訓練されたモデルである必要はない、という点だ。汎用的なコーディング能力とツール実行能力(いわゆるツールユース、function calling)さえあれば、あとは攻撃者が与えるプロンプトと環境次第で、正規のペネトレーションテストにも悪意ある侵入にも転用できてしまう。この「汎用性の高さゆえの両義性」こそが、エージェント型脅威の本質的な怖さだと筆者は考える。
もう一つ注目したいのが、LLMjackingとの関連性だ。LLMjackingとは、盗んだAPIキーを使って他者のLLMアカウントに不正アクセスし、その計算資源をタダ乗りする攻撃手法として近年報告が増えている。JadePufferの初期侵入フェーズでもAPIキーやクラウド認証情報の窃取が真っ先に行われていたことから、盗んだ認証情報でLLMのAPIコストそのものを踏み倒しながら攻撃を継続するという構図が透けて見える。攻撃者にとっての限界費用がほぼゼロになる、という意味で、LLMjackingとエージェント型ランサムウェアは今後さらに結びつきを強めていく可能性が高い。
筆者の見解・予測——エージェント型攻撃はここから本格拡大する
JadePufferが「世界初」と報じられたことの意味は、単に一つの事件が起きたということ以上に大きい。攻撃者コミュニティにとって、これは「エージェント型ランサムウェアは実現可能であり、しかも従来より低コスト・低スキルで実行できる」という実証実験が公になったことを意味する。今後数か月から1年程度のスパンで、同種の攻撃キャンペーンが件数・多様性ともに増加していくことはほぼ避けられないと筆者は見ている。
特に警戒すべきは以下の3点だ。
- 標的の広がり: 今回はLangflowとNacosという特定の組み合わせだったが、同様の構図(AIオーケストレーションツールが認証情報のハブになり、そこから本命システムへピボットする)は、他のAI開発フレームワークやMCP(Model Context Protocol)サーバでも再現可能である
- 検知シグネチャの武器化競争: LLMが生成するコードに残る自然言語コメントや異常な速度での試行錯誤パターンは、現時点では貴重な検知の手がかりになっている。しかし攻撃者側がこれを認識すれば、コメントを削除させる、あるいは意図的に人間らしい速度に遅延させるといった「検知回避の学習」が進むのは時間の問題だ
- 防御側もエージェント化が必須に: 攻撃側がエージェント型で自律化・高速化する以上、防御側も人間のアナリストだけに依存した監視体制では追いつかなくなる。SOC(セキュリティオペレーションセンター)業務へのAIエージェント導入は、もはや効率化の選択肢ではなく、対抗上の必須条件になりつつある
セキュリティ担当者へのアドバイスとしては、まず自組織内で稼働しているAI関連ツール(LLMアプリ構築フレームワーク、ベクトルDB、MCPサーバ等)の棚卸しを最優先で行うこと、そしてそれらのツールに対しても通常の本番システムと同水準のパッチ管理・認証情報管理・ネットワーク隔離を適用することを強く推奨したい。「社内検証用だから」「一時的な環境だから」という油断こそが、JadePufferのような攻撃者にとって最初の突破口になる。
まとめ
JadePufferは、LLMエージェントが偵察から認証情報窃取、横展開、権限昇格、そしてデータベースの完全破壊までを人間の介入なしにやり遂げた、記録に残る初の事例となった。1,342件のNacos設定を暗号化し原本を削除、鍵は復元不能という徹底ぶりは、攻撃の「自動化」ではなく「自律化」がすでに現実のものとなったことを物語っている。
読者が今すぐ取るべき行動は次の3つだ。
- 自組織内のLangflow・Nacos・その他AIオーケストレーションツールの利用状況を棚卸しし、バージョンとネットワーク公開設定を確認する
- 未パッチのインスタンスがあれば直ちにアップデートし、コード検証エンドポイントや管理コンソールをインターネットから遮断する
- APIキー・クラウド認証情報をサーバの環境変数に直書きする運用をやめ、シークレット管理サービスへの移行を計画する
エージェント型脅威アクターの時代は、もう「これから来る」ものではなく「すでに始まっている」段階にある。パッチ済みの既知脆弱性が今なお悪用され続けている現実を踏まえれば、次に狙われるのは自組織かもしれない、という前提での備えが求められている。