- Sysdigの研究者らが「JADEPUFFER」と名付けた、初のエージェント型ランサムウェア攻撃
- 既知の脆弱性を悪用し、障害に応じて挙動を適応させながらAlibaba Nacosを標的に
- 被害者にとって不運なことに、JADEPUFFERはデータのバックアップを取らないため、身代金を支払っても意味がない
ランサムウェアはついに「自我」を持ったのでしょうか。Sysdigの研究者は、インターネットに公開されていたLangflowインスタンスへの攻撃を分析し、人間ではなくAIによって操られたとみられる、初のランサムウェア感染事例を発見しました。
この攻撃は脆弱性を突いて進行し、サーバーへのアクセス、データの削除、障害への対応、そして定期的な通信までもが、リモートの攻撃者ではなく大規模言語モデル(LLM)によって制御されていました。
「JADEPUFFER」と名付けられたこの攻撃は、恐喝型サイバー犯罪の今後の方向性——業界全体とまでは言わないまでも、少なくともサイバー犯罪のサービス化(CaaS)市場の行く末を示すものと言えるでしょう。Sysdigは結論部分で次のように強調しています。「これは恐喝の手口が向かう先を示す指標だ」。
完全に自律化されたハッキング
Langflowの展開環境に対するコードインジェクション攻撃を用いて、Sysdigが報告したところによると、この攻撃は完全に自動化されており、脆弱性(CVE-2025-3248)の悪用後、JADEPUFFERはLLMプロバイダー、データベース、クラウドプラットフォーム、暗号資産ウォレットの認証情報を探し出していました。
さらに、Langflowインスタンスが利用するPostgresデータベースからデータを窃取し、最終的な標的であるAlibaba Nacos(Naming and Configuration Service)とそれに接続されたMySQLデータベースに到達するまでの間に、さまざまな破壊行為を行っていました。
この時点で身代金要求が発生し、1,342件のNacos設定項目が暗号化され、重要なデータベーステーブルが削除されました。ここで興味深いのは、暗号化はランダムに適用されたものの、バックアップは一切作成されず、復号キーもレポートも生成されなかった点です。つまり、たとえ身代金を支払ったとしても、データは復旧できないままだったということです。
(Langflowはこの脆弱性を2025年4月に修正済みであり、インスタンスにパッチが適用されていれば、この攻撃は回避できたはずです。皮肉なことに、Langflow自体もAIプラットフォームであり、人工知能を使ってチャットボットやエージェント、高度なワークフローを構築・展開するためのローコードソリューションを提供しています。)
サイバーセキュリティの新たな局面
セキュリティ研究者たちは以前から「エージェント型脅威アクター(ATA)」の出現に注意を払ってきたため、JADEPUFFERの登場は決して予想外ではありません。この出現は要するに、誰であっても知的なプロンプトと、実環境での低労力・完全自動化されたテストを頼りに、ランサムウェア(あるいは他のサイバー脅威)の作戦を立ち上げ、運用できるようになったことを意味します。そしてそのテストからLLM自体が学習し、改善を重ねていくのです。
もしこれが本当にサイバーセキュリティの新時代の幕開けを意味するのだとしても、悪い話ばかりではありません。今回の事例は、LLMベースの攻撃をどのように検知できるかを示してもくれました。
例えば、この攻撃では過去に知られた脆弱性が使われていましたが、それ以上に興味深いのは、この試みが非常に「饒舌」だったという点です。Sysdigのチームは、JADEPUFFERが本来の目的を阻む障害に直面した際、それに適応しながら、その判断根拠を自ら開示していたことに気づきました。
こうした自己説明的な振る舞いはLLMではよく見られるものですが、他の脅威ではこうしたことは起こりません。これは、JADEPUFFERのようなLLMベースの脅威や、今後間違いなく登場するであろうその亜種を検知するうえで、有利な手がかりになります。