ランサムウェア「JadePuffer」、AIエージェントが攻撃全体を自動実行

研究者らは、ランサムウェア攻撃を大規模言語モデル(LLM)エージェントが全面的に実行した、文書化された事例としてはおそらく初となるケースを特定しました。ランサムウェアは「JadePuffer」と名付けられています。

クラウドセキュリティ企業のSysdigによると、JadePufferは自律型AIエージェントを使い、標的の偵察から認証情報の窃取、横方向移動、永続化の確立、権限昇格、そしてデータの暗号化までを一貫して実行していました。

研究者らによれば、このAIエージェントは侵入の過程で発生した失敗に対し、人間のオペレーターが障害に対処するのと同じように適応していたといいます。

「この攻撃はリアルタイムでも適応を見せ、失敗したステップをパラメータを調整しながら再試行していました。あるシーケンスでは、ログイン失敗から動作する修正策にたどり着くまでわずか31秒でした」とSysdigは述べています

初期侵入から暗号化まで

JadePufferは、LLMアプリ構築に広く使われているオープンソースフレームワーク「Langflow」に存在する未認証のリモートコード実行脆弱性CVE-2025-3248を悪用し、標的への初期アクセスを獲得しました。

ベンダーはこの脆弱性を2025年4月1日に修正しましたが、同年5月上旬にはCISAがこの脆弱性を悪用被害ありとしてタグ付けしています。攻撃対象となったのは、通常は最小限のハードニングしか施されていないものの、クラウド認証情報やAPIキーを含むインターネットに露出したエンドポイントでした。

CVE-2025-3248を通じてコード実行権限を獲得した後、AIエージェントはLangflowのPostgreSQLデータベースをダンプし、ホスト情報を収集し、環境変数や機密ファイルを検索し、認証情報を取得した上で、MinIOオブジェクトストアを列挙しました。

Sysdigは、MinIOの列挙に見られた適応的なアプローチを強調しています。あるAPIリクエストがJSONではなくXMLを返した場合、次のペイロードはそれに応じて解析ロジックを自動的に調整していました。

JadePufferはまた、Langflowホスト上にcronジョブをインストールすることで永続化を確立しており、このcronジョブは30分ごとに攻撃者のインフラへビーコン通信を行うよう設定されていました。

攻撃者はLangflowインスタンスから、Alibaba Nacos(Naming and Configuration Service)を稼働させている本番MySQLサーバーへと横展開しました。この際使用されたrootの認証情報について、Sysdigはその入手経路を特定できなかったとしています。

Nacosに対しては複数のペイロードが投じられ、その中には不正な管理者アカウントを作成する認証バイパスの脆弱性CVE-2021-29441を悪用するものも含まれていました。

このエージェントはコンテナエスケープの手法を探索した後、ランサムウェアのペイロードを展開しました。研究者らによると、JadePufferは1,342件のNacosサービス設定項目を暗号化した上で、元のデータを削除しました。

「キャプチャされたペイロードから、このエージェントがMySQLのAES_ENCRYPT()を用いて1,342件のNacosサービス設定項目すべてを暗号化し、元のconfig_infoテーブルとhistoryテーブルを削除した上で、身代金要求文とビットコイン支払いアドレス、Proton Mailの連絡先を含む恐喝用テーブル(README_RANSOM)を作成していたことが分かります」とSysdigは説明しています。

Image

身代金要求文には、データがAES-256アルゴリズムを用いて暗号化されたと記載されていますが、研究者らはこれを誇張だと見ており、実際にはより脆弱なAES-128-ECBが使用されている可能性が高いとしています。

Sysdigによると、暗号化キーはランダムに生成されるものの、保存されたり攻撃者に送信されたりすることはないとのことです。

身代金要求文に記載されているビットコインアドレスは、公開文書で広く使われているサンプルアドレスであり、LLMが学習データからそのまま再現してしまった結果である可能性があります。

この攻撃をAIが制御していたことを示す他の兆候としては、生成されたコード内に運用上の判断理由を説明する詳細な自然言語コメントが含まれていたこと、そして単純な再試行ではなく、遭遇した具体的なエラーを踏まえた迅速な攻撃の反復が挙げられます。

Rapid iteration steps

Sysdigは、今回のJadePufferの事例が「エージェント型脅威アクター(ATA)」の時代の到来を示しており、被害の大きいサイバー攻撃を実行するために必要なスキルのハードルを下げていると結論付けています。

その一方で、現在のAIエージェントの動作の仕方を踏まえると、LLMが生成したペイロードはセキュリティソリューションにとって新たな検知の機会も生み出しているといえます。

攻撃者に先んじて、すべてのレイヤーをテスト

セキュリティチームが記録できている攻撃成功事例は54%にとどまり、アラートが上がるのはわずか14%に過ぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手

翻訳元: https://www.bleepingcomputer.com/news/security/jadepuffer-ransomware-used-ai-agent-to-automate-entire-attack/

ソース: bleepingcomputer.com