史上初の「エージェント型ランサムウェア」感染事例の報告

ランサムウェア攻撃の全てを自動実行するAIエージェントが確認されました。サーバー侵入やデータ破壊だけでなく、失敗した手順をリアルタイムで修正して再突入する様子も見られたそうです。
JADEPUFFER: Agentic ransomware for automated database extortion | Sysdig
https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion

Smooth AI criminal drives 'first' end-to-end agentic ransomware attack
https://www.theregister.com/security/2026/07/02/smooth-ai-criminal-drives-first-end-to-end-agentic-ransomware-attack/5266073
セキュリティ企業のSysdigは、人間ではなくAIエージェントがランサムウェア攻撃を行った事例を確認したと報告し、このエージェントを「JadePuffer」と命名してその攻撃手法を共有しました。
JadePufferはオープンソースのAI開発ツール「Langflow」のインスタンスに対し、認証されていない攻撃者が任意のコードを実行できる既知の脆弱性「CVE-2025-3248」を悪用して侵入しました。その後、実行中のプロセスをスキャンし、LLMプロバイダーのAPIキー、仮想通貨ウォレット、データベース認証情報などの情報を収集し始めました。
JadePufferの真の標的は、MySQLデータベースと中国のビッグテック・アリババ(阿里巴巴)のインフラ管理サービス「Nacos」を実行している別のインターネット公開本番サーバーでした。JadePufferはroot認証情報を使ってサーバーの公開MySQLポートへ接続しましたが、この認証情報がどこから取得されたのかは分かっていません。
その後JadePufferは認可バイパスの脆弱性(CVE-2021-29441)やNacosのデフォルト署名キーを利用して有効なトークンを偽造するなど、複数の手法でNacosを攻撃しました。さらに、rootデータベース権限を利用して、Nacosのバックエンドデータベースにバックドア管理者アカウントを追加しました。
最終的に、JadePufferはMySQLに組み込まれている暗号化機能を使って1342件あるすべてのNacosサービス設定項目を暗号化し、身代金を要求するメールを作成しました。メールには「あなたのデータは暗号化されました」といった脅迫内容と、身代金の支払先となるビットコインアドレスが記載されていました。

SysdigはJadePufferがAIエージェントであることを示すいくつかの証拠があると記しています。
1つはコードの中に大量の注釈が付記されていたことです。このような注釈はAI特有のもので、Sysdigは「人間であればハッキングに使う使い捨てのコードに注釈など付けない」と指摘しました。
もう1つは攻撃が失敗したときの動作でした。最初に試した攻撃手法に失敗したJadePufferは、わずか十数秒で最初の手法を改善した方法を考案し、再攻撃したとのことです。ある一連の流れでは、ログイン失敗から再突入まで31秒しかかかりませんでした。
Sysdigは対策方法として、CVE-2025-3248を修正したバージョンへ更新し、コード実行や検証用エンドポイントをインターネットへ公開しないよう呼びかけています。また、JadePufferが暗号化済みデータのバックアップを一切取らないまま削除処理を実行したため、身代金を支払っても意味がないと忠告しました。
Sysdigは「この攻撃でAIエージェントが使用した手法自体は特に高度でも独創的でもありませんでしたが、AIがこれらをつなぎ合わせてランサムウェア攻撃として成立させたという点は注目に値します。ランサムウェアを実行するために必要な技能のハードルは、ただAIを動かすというコストにまで下がりました」とコメントしました。
・関連記事
ハッカーがMeta AIのサポートチャットボットを騙して有名人のInstagramアカウントを盗む - GIGAZINE
開発者向けクラウドプラットフォームのVercelがハッキングされる、「サードパーティー製AIツール」が攻撃の経路か - GIGAZINE
中国・イラン・北朝鮮・ロシアなどがGoogle製AIのGeminiを使ってサイバー攻撃を実行しているとGoogle脅威インテリジェンスグループが報告 - GIGAZINE
・関連コンテンツ
in AI, セキュリティ, Posted by log1p_kr
You can read the machine translated English article Report of the first-ever 'agent-type ran….







