米クラウドセキュリティー企業Sysdig、AIエージェント型ランサム初確認

Sysdig、AIエージェント型ランサムウェアJADEPUFFERを公表 Langflow経由で侵入

※記事を視覚化したイメージであり、実際の事象とは異なります。

本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]

クラウドセキュリティー企業のSysdigは7月1日、LLMベースのAIエージェントが侵入後の探索、認証情報の悪用、横移動、データベース恐喝までを一連で実行した事案を公表し、「JADEPUFFER」と命名した。失敗した手順を31秒で修正する挙動も確認された。

侵入後に判断を重ねたAIエージェント

JADEPUFFER関連の報告では、侵入起点としてLangflowの脆弱性CVE-2025-3248が言及されている。LangflowはAIアプリやエージェントのワークフロー構築に使われるソフトで、NVDはこの脆弱性について、Langflow 1.3.0未満のコード検証エンドポイントにおける認証不要のコード実行問題と説明している。なお、GitHub Security Advisoryに掲載されている別の認証不要RCE脆弱性は、CVE-2025-3248とは異なる問題である。

侵入後の攻撃連鎖では、認証情報の探索と利用、別サーバーへの横移動、露出したMySQLポートへのroot認証情報での接続が確認された。重要なのは、AIが単に人間の操作を補助したのではなく、攻撃の進行に応じて判断し、次の手を選んだと位置付けられている点だ。

象徴的なのが、エラー発生後の対応である。Sysdigは、原因の特定から修正用スクリプトの作成、再投入までが31秒で行われたと説明している。この短さから、人手による逐次操作よりも、AIエージェントによるリアルタイム修正の可能性が高いとみている。

進む攻撃の自律化

JADEPUFFERは単発の異例事案というより、攻撃の自律化が段階的に進んでいる流れの中にある。Sysdigは5月26日の別分析で、5月10日にLLMエージェントが侵入後のフェーズを駆動し、脆弱性起点から内部データベース到達まで複数回のピボットを行った事案を報告していた。さらに6月12日には、設定不備のOllamaモデルサーバーを推論エンジンとして使い、自動化された多段攻撃ツールが運用されていた事案も示している。

一方で、JadePufferが単一の汎用AIエージェントなのか、複数の部品やワークフローを束ねた仕組みなのかは明らかになっていない。人間がどの程度まで初期設定や監督に関与していたか、被害規模や金銭要求の到達状況などの詳細も公表されていない。今後は、AIワークフロー基盤の露出管理、脆弱性対応、推論基盤の悪用対策がより重要になる。

参考・出典

ニュースはAIで深化する—。日々の出来事を深掘りし、次の時代を考える視点をお届けします。

本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。
ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、
実際の判断は公的資料や他の報道を直接ご確認ください。
[私たちの取り組み]