【初のAIエージェント型ランサムウェア】身代金を支払っても復旧不可能なデータ破壊工作

2026年7月9日 18:20

クラウドセキュリティ企業のSysdigは2026年7月1日、AIエージェントによってエンドツーエンドで実行された初のランサムウェア攻撃「JADEPUFFER」に関する調査結果を公開した。この攻撃は、暗号化キーが一度だけログに出力され、攻撃者側にも保存・送信されない仕組みになっており、身代金を支払ってもデータを復旧することは不可能である。実質的なデータ破壊工作(ワイパー攻撃)であり、従来の脅威モデルを根底から覆すものとして、セキュリティ関係者に衝撃を与えている。

■AIエージェントが古い脆弱性を連鎖させて攻撃を完結

Sysdigの脅威研究チームによると、今回の攻撃は「JADEPUFFER」と名付けられた脅威アクターによるもの。大規模言語モデル(LLM)が偵察、資格情報の窃取、横展開(ラテラルムーブメント)、権限昇格、暗号化、そして身代金要求文の配置にいたるまで、人間のオペレーターが各ステップを指示することなく自律的に実行したという。

Sysdigの脅威研究ディレクターであるマイケル・クラーク氏は、CyberScoopに対し「人間がインフラを構築し、標的を選択したものの、その後の技術的な決定はすべてAIが処理し、リアルタイムでエラーに適応していた」と語った。つまり、初の自律型AIランサムウェア攻撃であると同時に、完全な自律ではなかったという両面性を持つ。

攻撃の起点となったのは、AIエージェントのワークフロー構築に広く使われているオープンソースのPythonフレームワーク「Langflow」の未修正の脆弱性(CVE-2025-3248)だった。この脆弱性は2025年3月31日にバージョン1.3.0で修正され、同年5月には米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)の「悪用が確認されている脆弱性(KEV)」カタログに追加されていたが、標的となったサーバーは1年以上未修正のまま放置されていた。

LangflowのようなAIオーケストレーションツールは、OpenAI、Anthropic、DeepSeek、Google GeminiなどのAPIキーや、AWS、Azure、GCP、Alibaba、Tencentなどのクラウドプロバイダーの資格情報を環境内に保持していることが多い。JADEPUFFERは、Langflowの内部PostgreSQLデータベースをダンプし、環境変数や設定ファイルから機密情報をスキャン。さらに、初期設定のまま変更されていなかったMinIOオブジェクトストレージサーバー(資格情報「minioadmin:minioadmin」)を列挙した。

■エラーを31秒で自己修復する自律性

JADEPUFFERの真の標的は、MySQLデータベースとAlibaba Nacos(マイクロサービス向けのサービス登録・動的構成プラットフォーム)を実行している、インターネットに公開された別の本番サーバーだった。JADEPUFFERは、Nacosの既知の認証バイパス脆弱性(CVE-2021-29441)と、2020年から公開されているデフォルトのJWT署名キーを悪用し、データベースにバックドア管理者アカウントを直接注入した。

この際、LLMは静的なスクリプトを実行していたわけではない。サブプロセスのPATH問題によりbcryptライブラリが有効なハッシュを生成できず、管理者アカウントの作成に一度失敗すると、AIエージェントはエラーを読み取って原因を診断。破損したアカウントを削除し、サブプロセス呼び出しから直接のライブラリインポートへと切り替え、修正を確認した上で修正済みのペイロードを再展開した。この失敗から修正完了までに要した時間はわずか31秒だった。人間のオペレーターが31秒でこれに対応し、再テストすることは不可能である。

攻撃全体を通じて、エージェントは600以上の個別のペイロードを実行した。そのすべてに、標的の優先順位付けやデータベースの投資対効果(ROI)分析、ステップごとの根拠などを説明する自然言語のコメントが添えられていた。使い捨ての攻撃コードを書く人間のハッカーが自らの意図を注釈することはないため、この「自己解説型」のスタイルこそがLLMによる攻撃の決定的な証拠となった。

■身代金要求は「演劇」に過ぎず、本質はデータ破壊

最終フェーズで、JADEPUFFERはMySQLの組み込み関数「AES_ENCRYPT()」を使用して1,342個のNacosサービス構成項目をすべて暗号化し、元のテーブルを削除。その後、ビットコインのウォレットアドレスとProtonMailの連絡先が記載された「README_RANSOM」という脅迫テーブルを作成した。要求文にはデータがステージングサーバーにバックアップされたと書かれていたが、Sysdigが調査したところ、データが外部に持ち出された(エクスフィルトレーション)形跡は一切見つからなかった。

さらに重大なことに、AES暗号化キーは2つのUUID4呼び出しから派生したランダムな256ビット値として生成され、標準出力に一度だけ印刷されただけで、どこにも保存も送信もされていなかった。つまり、攻撃者自身もキーを保持していない。身代金を支払っても、被害者に提供できるものは何もないのである。

これは、2017年に推定100億ドルの被害をもたらしたサイバー攻撃「NotPetya」と同じ機能的カテゴリに属する。NotPetyaは暗号化をデータ破壊の隠れ蓑として使用しており、支払いの有無にかかわらず復号が構造的に不可能だった。JADEPUFFERは、このパターンをAIエージェントのアーキテクチャを用いて再現した。これが意図的なものだったのか、それともLLMの設計ミス(キーの保存を考慮せずに暗号化を実行した)によるものなのかは不明である。

また、身代金要求文に記載されたビットコインのアドレスが、よく知られたビットコインのドキュメントのサンプル例と一致していたことから、LLMが学習データからアドレスをハルシネーション(幻覚)した可能性もある。その場合、支払われた身代金は攻撃者ではなく、無関係な第三者に送られることになる。

■AIエージェントのアーキテクチャ「ReAct」の悪用

JADEPUFFERは、研究者が「ReAct(Reason and Act:推論と行動)」ループと呼ぶアーキテクチャ上で動作していた。これは、現在企業環境に導入されているほぼすべての商用AIエージェントツールの背景にあるパターンと同じである。モデルが各アクションの結果を受け取り、それが示す意味を推論し、次のアクションを生成して実行することを繰り返す。アクションが失敗すると、モデルはその失敗を次の推論ステップに組み込んで調整する。

このアーキテクチャは決して特殊なものではなく、企業の自動化ワークフローやAIコーディングアシスタント、セキュリティ運用プラットフォームで動作しているものと同じメカニズムである。JADEPUFFERは斬新なAI機能を使用したわけではなく、すべてのLLMプロバイダーが提供している標準的なReAct機能を使用し、未修正のサーバーとデフォルト設定のままの標的に向けたに過ぎない。

■組織が取るべき防御策

JADEPUFFERはゼロデイ脆弱性や斬新な技術を使用しておらず、開けっ放しにされたドアから侵入した。組織は以下の対策を講じる必要がある。

1. Langflowを直ちにバージョン1.3.0以降にパッチ適用する。インターネットに公開されているLangflowが1.3.0未満の場合、すでに侵害されているものとして扱うべきである。Black Duckのプリンシパル・サイバーセキュリティ・エンジニアであるベン・ロナロ氏は、調査はLangflowホストに留まらず、そこから到達可能なすべてのシステムをマッピングする必要があると警告している。

2. AIツールの資格情報を隔離する。LangflowサーバーはクラウドサービスやAIプロバイダーのAPIキーを保持しているため、高価値な標的となる。これらの資格情報は専用のシークレットマネージャーに保管し、インターネットに公開されたアプリケーションから隔離する必要がある。Salt SecurityのCEOであるロイ・エリヤフ氏は「これはマシンアイデンティティ管理の問題である」と指摘する。

3. MinIOのデフォルト資格情報を変更する。「minioadmin:minioadmin」というデフォルト設定は長年悪用されている。インターネットから到達可能なMinIOでデフォルトが変更されていない場合、攻撃者を招き入れているようなものである。

4. Nacosを堅牢化し、インターネットへの露出を排除する。2020年から公開されているデフォルトの「token.secret.key」を変更し、認証を必要とするバージョンにアップグレードして、サービスがパブリックインターネットから直接到達できないようにする。

5. シグネチャ検知よりも振る舞い検知に投資する。JADEPUFFERの攻撃は実行時にLLMによって生成されるため、既知のマルウェアシグネチャが存在しない。ブリーチ回復企業Fenix24の共同創設者兼CISOであるヒース・レンフロー氏は「AIエージェントが、経験豊富なオペレーターが数時間かけていた作業を数分に圧縮できれば、防御側は貴重な時間を失う」と述べ、振る舞い検知の重要性を強調している。

6. 不変(イミュータブル)バックアップと復旧手順のテストを維持する。JADEPUFFERの被害者は、身代金を支払ってもデータを復旧できない。唯一の有効な対策は、侵害されたアプリケーションサーバーからアクセス・改ざんできない不変バックアップを保持し、事前に復旧手順を検証しておくことである。

■注目ポイントQ&A

●JADEPUFFERに暗号化されたデータは、身代金を支払えば復旧できますか?

いいえ、復旧できません。Sysdigの調査により、暗号化キーはランダムに生成されてログに一度出力されただけで、攻撃者のインフラには保存も送信もされていないことが確認されています。そのため、身代金を支払っても攻撃者からキーを受け取ることは不可能です。唯一の復旧方法は、侵害された環境から隔離された不変バックアップからの復元のみです。

●JADEPUFFERは、人間の関与が一切ない完全な自律型AI攻撃だったのですか?

完全な自律ではありません。Sysdigのマイケル・クラーク氏によると、人間がコマンド&コントロール(C2)インフラを構築し、標的を選択し、MySQLのルート資格情報を提供していました。AIが担当したのは、初期設定後のすべての技術的決定(どのサービスを調査するか、どう認証するか、エラーからどう回復するか、いつどのように暗号化するかなど)です。

●JADEPUFFERのようなAI駆動型攻撃と、人間による従来の攻撃はどうやって見分けるのですか?

Sysdigは4つの特徴を挙げています。1つ目は、ペイロードに自身の標的選定理由や論理を説明する自然言語のコメントが大量に含まれていること(自己解説型)。2つ目は、エラー発生から修正版の再展開までが31秒というマシン速度で行われること。3つ目は、APIが想定外の形式を返した際に動的に解析ロジックを切り替える適応力。4つ目は、エラーごとに具体的な回避策(外部キー制約エラーに対する特定コマンドの実行など)を自律的に適用することです。

元記事: First AI-Agent Ransomware Destroyed Data Even Payment Could Not Recover

関連記事

最新記事