「Jadepuffer」―AIエージェントが“攻撃実行”を担った初の文書化ランサムウェア

「もし、身代金を要求してきた相手が、人間ではなかったら」——そんな問いが、いよいよ絵空事ではなくなってきました。これまでランサムウェア攻撃といえば、どこかにキーボードを叩く人間がいて、その意思で暗号化のボタンが押されるものでした。ところが今回明らかになったのは、侵入したシステムの中で、AI 自身が「どのデータに価値があるか」を見定め、失敗すれば原因を考えて手を打ち直し、最後に暗号化まで走り抜けた、という出来事です。しかも、その一部始終を AI は自分の言葉で「実況」しながら進めていました。攻撃の実行という、これまで人間だけが担ってきた領域に、AI が足を踏み入れた最初の記録。その意味を、少しだけ一緒に立ち止まって考えてみませんか。


2026年7月5日、Cybernewsはセキュリティ企業Sysdigの脅威調査チームによる報告を伝えた。同チームは、Jadepufferと名付けられたAIエージェントによる、初の文書化されたエージェント型ランサムウェア攻撃を観測した。

JadepufferはLangflowサーバーの脆弱性CVE-2025-3248を悪用して任意コードを実行し、被害者の本番データベースサーバーに対しデータベース恐喝を実行した。ログイン失敗から31秒で正しい修正ペイロードを投入し、その直後にログインへ成功した例が挙げられている。

探索対象はLLMのAPIキー、AWS・GCP・AzureおよびALIBABA_・ALIYUN_・TENCENT_・HUAWEI_のクラウド認証情報、暗号資産ウォレット、データベース認証情報、設定ファイルだった。暗号鍵はstdoutに出力されたのみで保存・送信されず、身代金支払い後も復旧は不能だった。SysdigはLangflowのバージョン1.3.0以降への更新を推奨している。

From: 文献リンクAI-powered ransomware has officially arrived – and it’s only the beginning

【編集部解説】

ランサムウェアという脅威が生まれて以来、その中心には常に「キーボードを叩く人間」か、少なくとも「スクリプトを書く人間」がいました。今回Sysdigの脅威調査チームが報告したJadepufferは、その実行の層をLLMが自律的に担った、初の文書化された事例です。ここが、私たちが今この記事を届ける最大の理由です。

まず、大切な前提を押さえておきます。これは「人間が一切関与しない攻撃」ではありません。CyberScoopの取材に対しSysdigは、標的の選定、攻撃インフラ(C2・ステージング基盤)の構築、そして侵入に使われたroot認証情報の入手は、依然として人間が担っていたと説明しています。自律化したのは、あくまで「攻撃現場での多段階実行」の層です。「AIが完全に単独でやってのけた」という受け止めは正確ではなく、この区別を押さえておくと、事案の輪郭がくっきりと見えてきます。

注意していただきたいのは、「AI製ランサムウェア」という言葉自体は今回が初出ではないことです。2025年8月にはESETがPromptLockを「初のAI駆動型ランサムウェア」として報告しましたが、これは後にニューヨーク大学(NYU Tandon)の研究チームによる学術的な試作品(Ransomware 3.0)であることが判明しました。今回のJadepufferが画期的なのは、それが実験室のデモではなく、現実の本番インフラに対して実際に稼働していた点にあります。

技術的に見ると、Jadepufferが使った手口は、ひとつひとつを取り出せば真新しくも高度でもありません。Sysdig自身がその点をはっきり認めています。本当に新しいのは「手口」ではなく「主体」です。つまり、それらの既知の手口を一連のランサムウェア作戦として組み上げた実行役が、人間ではなく大規模言語モデルだった、という一点に尽きます。

その自律性を最も雄弁に物語るのが、あの「31秒」です。管理者アカウントの作成に一度失敗したAIが、原因を診断し、修正コードを組み直すまでにかかった時間がわずか31秒で、その直後にはログインに成功しました。エラーで停止する従来型スクリプトと、失敗を推論して立て直すエージェントとの決定的な違いが、この数字に凝縮されています。

ここで一点、参照元と一次情報のあいだで見過ごせない食い違いがありましたので、公平に補足します。Cybernewsの記事は、身代金要求文のビットコインアドレスを「開発者ドキュメントの標準的な例示アドレスではない」と記していますが、Sysdigの原典はその逆で、当該アドレスこそがビットコインの開発者向け文書に広く登場する定番の例示アドレスだと述べています。ブロックチェーン上でも、これはこれまでに約46 BTCが着金し現在の残高はゼロという、実在の稼働ウォレットです。AIが学習データから「見覚えのある文字列」を引っ張り出したのか、運用者が意図的に実在ウォレットを設定したのか ― この問いが成立するのは、アドレスが例示と一致しているからこそであり、この点は原典に沿って理解する必要があります。

私たちがもうひとつ強調したいのは、参照元の各メディアがやや控えめにしか触れていない論点です。この攻撃で語られる「データはすでに外部サーバーへバックアップ済み」という記述は、AIエージェント自身がコード内のコメントとして書き残した主張にすぎず、Sysdigが独立して裏付けたものではありません。要求文が謳う「AES-256で暗号化した」という文言も、MySQLの暗号化関数の既定仕様(AES-128-ECB)を踏まえると誇張の可能性があります。つまり、LLMの「自己ナレーション」は、攻撃者の意図を可視化してくれる一方で、そこに書かれた内容が事実とは限らない、という両義性を抱えているわけです。

もっとも、その自己ナレーションは防御側にとって朗報でもあります。攻撃者が自らの狙いを自然言語で逐一書き残すという性質は、これまで守る側が手にできなかった検知と分類の手がかりになります。攻撃の高速化という脅威と、意図の可視化という好機が、同じ現象の裏表として同時に立ち現れているのが、この事案の興味深いところです。

影響範囲という点では、コストの崩壊がもっとも重い意味を持ちます。盗んだ認証情報で他人のLLMを無断利用する「LLMjacking」を使えば、攻撃コストは大きく下がり、限りなくゼロに近づくとSysdigは分析しています。熟練の攻撃者でなくとも、放置された古い脆弱性を歴史的なカタログごと総当たりで突けるようになる ― これは、パッチ未適用のまま放置されたサーバーが、これまで以上に狙われやすくなることを意味します。

規制やガバナンスの観点でも、この事案は示唆に富みます。Jadepufferが突いた穴の多くは、「認証情報や秘密情報の管理を含む、運用の不備」に帰着します。あるべきでない場所に置かれた秘密情報、変更されないままの初期パスワード、権限の絞られていない特権アカウント ― これらは技術というより運用と統治の問題です。同時に、AI事業者側にも、盗まれた計算資源の不正利用をどう検知・遮断するかという新たな責任が問われ始めています。

そして長期的な視点について、エージェント型AIは開発や研究の生産性を桁違いに引き上げる存在であると同時に、攻撃の担い手にもなりうる――この二面性から目を逸らすべきではないでしょう。Jadepufferは破滅の宣告ではなく、Sysdigの言葉を借りれば「警告のサイン」です。攻撃側の自動化が進む時代に、守る側もまた自動化と可視化で応じる。その攻防の再設計が、いま静かに始まっています。

【関連記事】

Langflow に重大な脆弱性、CISA が警告 – AI ワークフロー構築ツールに未認証リモートコード実行の危険(内部)
今回Jadepufferが侵入口とした同じ脆弱性CVE-2025-3248の第一報。警告から現実の被害へと1年越しでつながる前提記事。

トレンドマイクロが警鐘、2026年はAIエージェントによる自律型サイバー攻撃の時代へ(内部)
AIエージェントが偵察から侵入まで自律実行すると予測した記事。Jadepufferはその予測が実証された事例にあたる。

JetBrainsで15個の悪性プラグインがAPIキーを窃取、合計約7万ダウンロード(内部)
攻撃コストをほぼゼロにする鍵「LLMjacking」を、その用語の出自から詳しく解説した記事。コスト論の補助線となる。

【編集部後記】

この記事を書きながら、何度も戻ってきた場面があります。AI が管理者ログインに失敗したあと、原因を自分で診断し、コードを組み直して、31秒でやり直してみせた——あの一瞬です。うまくいかなかったときに「なぜだろう」と考え、別のやり方を試す。それは、私たちが仕事で行き詰まったときにやっていることと、驚くほど地続きに見えます。攻撃の話のはずなのに、そこに映っていたのは、道具というより「もう一人の作業者」の姿でした。

同時に、忘れてはいけないと思ったのは、この AI が魔法のように無から現れたわけではない、という点です。どのシステムを狙うか決めたのも、活動の足場を整えたのも、鍵となる認証情報を用意したのも、人間でした。AI が担ったのは、あくまで現場での実行です。ここを曖昧にすると、「AI が勝手にすべてをやった」という怖さだけが独り歩きしてしまう気がします。本当に見つめるべきなのは、人間と AI が役割を分け合い始めた、その境界線の引かれ方のほうかもしれません。

そして、この出来事が突きつけているのは、案外あたりまえの事実だったりします。攻撃者が入り込んだのは、パッチが当たっていなかったサーバーであり、初期設定のまま置かれた認証情報であり、あるべきでない場所に転がっていた鍵でした。どれも、以前から「気をつけましょう」と言われ続けてきたものばかりです。攻撃する側が AI で桁違いに速く・安くなっていく一方で、守る側の弱点は、昔とそれほど変わっていない。この非対称さこそが、いちばん静かで、いちばん重い問題なのだと感じます。

それでも、悲観だけで終わらせたくはありません。今回の AI は、自分の狙いを言葉で残しながら動いていました。裏を返せば、守る側にとっては、相手の意図が読める手がかりが増えたということでもあります。速くなる攻撃に、可視化と自動化で応じる。その知恵比べは、もう始まっています。次に同じような手口を目にしたとき、慌てずに「ああ、あの話か」と受け止められるように。今この段階で仕組みを知っておくことには、きっと確かな意味があります。みなさんが引っかかった点や、違う見方があれば、ぜひ聞かせてください。一緒に考えていけたら嬉しいです。


【用語解説】

大規模言語モデル(LLM)
膨大なテキストで学習し、人間の言語を理解・生成するAIモデルである。Large Language Modelの略。文章生成だけでなく、コードの記述や手順の推論にも用いられる。

AIエージェント/エージェント型脅威アクター(ATA)
目標を与えられると、状況を判断しながら一連のタスクを自律的に実行するAIを「AIエージェント」と呼ぶ。その攻撃版が「エージェント型脅威アクター(Agentic Threat Actor:ATA)」であり、攻撃能力を人間ではなくAIエージェントが担う攻撃者を指す。

CVE(CVE-2025-3248)
CVEは、公表された脆弱性に世界共通の識別番号を付ける仕組みである。CVE-2025-3248はLangflow(1.3.0未満)の脆弱性で、認証なしに任意のコードを実行される危険がある。深刻度スコア(CVSS)は最大級の9.8だ。

LLMjacking
盗み出したAPIキーなどの認証情報を使い、他者のLLM計算資源を無断で利用する行為である。攻撃者は自前のAIコストを負担せずに済むため、攻撃コストがほぼゼロに近づく。

自己ナレーション(self-narrating)
AIが生成したコードの中に、「なぜこの操作を行うのか」という意図や判断根拠が自然言語のコメントとして書き残される特徴。人間の攻撃者が使い捨てコードにこうした注釈を付けることは稀で、LLM特有の挙動とされる。

AES-256/AES-128
AESは広く使われる共通鍵暗号方式で、数字は鍵の長さ(ビット数)を表す。身代金要求文はAES-256を謳っていたが、実際に使われたMySQLの暗号化関数は既定ではAES-128-ECBで動作するため、誇張の可能性が指摘されている。

PromptLock
2025年8月にESETが「初のAI駆動型ランサムウェア」として報告した検体。後にニューヨーク大学(NYU Tandon)の研究チームによる学術的な試作品(Ransomware 3.0)であることが判明した。実環境で稼働したJadepufferとは性質が異なる。

【参考リンク】

Sysdig(公式サイト)(外部)
クラウドとコンテナのセキュリティを手がける企業。今回Jadepufferを報告した脅威調査チームを擁する。

Langflow(公式リポジトリ)(外部)
LLMアプリやエージェントを視覚的に構築するオープンソース基盤。今回の最初の侵入口となった。

MySQL(公式サイト)(外部)
世界で広く使われるオープンソースのデータベース。攻撃の最終標的となった本番サーバーで稼働。

Bitcoin(公式サイト)(外部)
分散型のデジタル通貨。身代金の支払い先として、要求文にアドレスが記載されていた。

ESET(公式サイト)(外部)
2025年8月にPromptLockを初のAIランサムとして報告したセキュリティ企業。

【参考記事】

JADEPUFFER: Agentic ransomware for automated database extortion(Sysdig)(外部)
2026年7月1日公開の原典。31秒・1342件・600件超などの中核的な数値の出典となる詳細レポート。

AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack(The Hacker News)(外部)
600件超のペイロードや、PromptLockがNYUの試作品と判明した経緯を整理した記事。

JadePuffer ransomware used AI agent to automate entire attack(BleepingComputer)(外部)
1342項目・30分ごとのビーコン・CISA指定の時系列など日付と数量を丁寧に押さえた記事。

Sysdig clocks first documented case of agentic ransomware(CyberScoop)(外部)
AIが全工程を担ったのではなく、標的選定やインフラ構築は人間だった点を報じた記事。

Researchers Claim First Fully Agentic Ransomware: JadePuffer(Infosecurity Magazine)(外部)
データ持ち出しはAI自身の主張で未検証、暗号鍵は復旧不能という論点を明示した記事。

Agentic AI Used to Conduct Ransomware Attack via Langflow(SecurityWeek)(外部)
CVE-2025-3248の深刻度9.8や2025年4月の公表など脆弱性側の事実関係を確認できる記事。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。