セキュリティ
身代金を支払ってもLLMがデータを返してくれるとは限らない
AIは決して「悪意ある存在」ではなく、単にそう指示されたに過ぎません。Sysdigの脅威ハンティングチームは、人間ではなくLLMが初期アクセスの獲得から本番データベースサーバーの侵害、データの破壊に至るまで、恐喝作戦の全工程を主導した、史上初めて文書化されたエージェント型ランサムウェア感染事例だとする調査結果を公表しました。
同社の調査チームはこのエージェント型侵入者を「JadePuffer」と命名し、インターネットに公開されていたLangflowインスタンスのCVE-2025-3248を悪用して初期アクセスを獲得した後、完全自動化された攻撃を実行したとしています。
「しかし何よりも際立っていたのは、このLLMの挙動でした」と、Sysdigの脅威リサーチディレクターであるMichael Clark氏は、このエージェント型ランサムウェア・恐喝作戦に関するブログ記事で述べています。
JadePufferの「自己説明型」ペイロードには「自然言語による推論、標的の優先順位付け、そして人間のオペレーターが書くことはあまりないものの、LLMが生成するコードには反射的に現れるような詳細な注釈が含まれていました」とClark氏は付け加えています。「この作戦はリアルタイムで適応もしており、失敗したステップを条件を調整して再試行していました。あるやり取りでは、ログイン失敗からわずか31秒で修正に成功しています」
リモートの未認証攻撃者がホスト上で任意のPythonコードを実行できてしまう、Langflowの認証欠如の脆弱性であるCVE-2025-3248を悪用した後、このAIエージェントはLLMプロバイダーのAPIキー、クラウド認証情報の収集を始めました。特にAlibaba、Aliyun、Tencent、Huaweiといった「中国系プロバイダーを明示的に対象に含む」認証情報を収集する一方、AWS、Azure、Google Cloud Platform、暗号資産ウォレット、データベース認証情報も併せてスキャンしていたとのことです。
このAIはさらに、Langflowサーバー上に永続化のためのcrontabエントリをインストールし、30分ごとに攻撃者のインフラへコールバックする仕組みも構築しました。
JadePufferが本来の標的としていたのは、MySQLデータベースとAlibabaのNacos設定サービスを稼働させる、別のインターネット公開型本番サーバーだったとのことです。Nacosは、Alibabaが開発したオープンソースのサービスディスカバリー・動的設定プラットフォームで、同クラウドプロバイダーのマイクロサービスアプリケーションで利用されています。
このエージェントはrootの認証情報を使い、サーバーの公開されているMySQLポートに接続しました。ただし、攻撃者がどのようにこの認証情報を入手したのかはSysdigも把握していません。これらの認証情報は被害者の環境から窃取されたものではありませんでした。
続いてJadePufferは、認可バイパスの欠陥(CVE-2021-29441)や、Nacosのデフォルトの署名鍵を用いた正規のJSON Web Token(JWT)の偽造など、複数の経路でNacosを攻撃しました。さらに、獲得済みのrootデータベースアクセス権を使い、このLLMはNacosのバックエンドデータベースに管理者権限のバックドアを注入しました。
最終的には、MySQL標準搭載のAES暗号化関数を用いてNacosのサービス設定項目1,342件すべてを暗号化し、恐喝要求文、身代金要求メッセージ、ビットコイン支払いアドレス、Proton Mailの連絡先を作成しました。
“YOUR DATA HAS BEEN ENCRYPTED. All NACOS configurations, REDACTED customer data, and REDACTED PII have been encrypted with AES-256.”, “3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy”, “e78393397[@]proton[.]me”
しかし、脅威ハンティングチームによると、被害者が身代金要求に応じたとしても暗号化されたデータを復元することはできません。というのも、このエージェントは暗号化したデータを一切バックアップすることなく、「行単位の削除からデータベーススキーマ全体の削除へと段階的にエスカレートし、自らその標的選定の根拠を説明していた」ためです。
このAIエージェントによる身代金要求を回避するために、セキュリティチームや脆弱性管理担当者が直ちに取るべき対策がいくつかあります。まず第一に、CVE-2025-3248を修正済みのバージョンにLangflowをパッチ適用し、コード実行・検証用のエンドポイントをインターネットに公開しないことです。
また、Nacosを決してインターネットに公開せず、デフォルトのtoken.secret.keyを変更し、カスタムキーの使用を強制するバージョンへアップグレードすべきです。
脅威ハンティングチームはさらに、プロバイダーのAPIキーやクラウド認証情報を環境内に保持したままAIオーケストレーションサーバーを稼働させないことも推奨しています。
今回の攻撃においてこのAIエージェントは特に高度あるいは独自の手法を用いたわけではありませんが、LLMが「放置されたインターネット公開インフラに対して、それらの手法を組み合わせて一連のランサムウェア作戦へと仕立て上げた」という事実こそが注目に値するとClark氏は指摘します。「ランサムウェアを実行するための技術的なハードルは、エージェントを稼働させるコスト程度にまで下がっています。そして、そのエージェントがLLMjackingを通じて盗まれた認証情報で動いているのであれば、攻撃者側のコストはほぼゼロに近いのです」®