JadePuffer:AI エージェントが侵入から認証情報の窃取・横展開・暗号化までを、その場で判断しながら自律実行したランサムウェア攻撃

事案日
2026-07-03
公開日
2026-07-07
発行
Lemma Critical Team
関連 Pack
Pack CAgent Governance

TL;DR

クラウドセキュリティ企業 Sysdig が、JadePuffer と名付けた攻撃者が LLM エージェントに侵入から恐喝までを実行させたランサムウェア攻撃を報告した。攻撃者は、インターネットに露出した AI アプリ構築基盤 Langflow の未認証コード実行(CVE-2025-3248、CVSS 9.8)で足場を得た後、LLM に偵察・認証情報探索・横展開・暗号化を委ね、LLM は対象ごとに手順とコードをその場で生成・修正し、失敗を自己診断して次の行動を選んだ。攻撃者は本番の Nacos 設定基盤に至り、認証バイパス(CVE-2021-29441)と既定の JWT 署名鍵の偽造で管理者権限を得て設定 1,342 件を暗号化、暗号鍵は保存も送信もされず復旧を不能にした。問題は「AI が攻撃に使えること」自体ではなく、攻撃者の LLM が生成する行動が対象システム側で実行の前に認可・検証されず、事前に止められなかったことにある。検出と事前証明は代替ではなく補完である。


事案概要

  • 対象: インターネットに露出した Langflow インスタンス(LLM 駆動アプリ・エージェントワークフローを構築する Python 製のオープンソース基盤)を初期侵入点とし、被害組織の本番サーバー(MySQL、Alibaba Nacos 設定基盤)に到達した。
  • 攻撃者: Sysdig が JadePuffer として追跡する攻撃者。LLM を攻撃の実行エンジンとして用いた。
  • 初期侵入の識別子: CVE-2025-3248(CVSS 9.8)。Langflow の未認証コード実行脆弱性。悪用に成功すると Langflow が動くホスト上で任意の Python コードを実行できる。
  • 公開日: 2026-07-03(Sysdig によるレポート公表)。キャンペーンは数週間にわたり観測された。
  • 手口の核心: 攻撃者は LLM に偵察・認証情報探索・横展開・暗号化を委ね、LLM は対象ごとに手順とコードをその場で生成・修正した。ペイロードには各行動の判断根拠を述べる自然言語コメントが残っており、LLM 生成であることを示していた。
  • 横展開と暗号化: Langflow 侵入後、LLM はシステム内の秘密情報(API キー、クラウド認証情報、暗号資産ウォレット、設定ファイル、DB 認証情報)を探索し、Postgres をダンプ。内部アドレス空間と到達可能なサービスを走査し、永続化のための cron ジョブを設置。次いで本番の MySQL と Nacos に到達し、Nacos の認証バイパス(CVE-2021-29441)・既定の JWT 署名鍵によるトークン偽造・DB への直接のバックドア管理者注入で管理者権限を得た。
  • 被害: Nacos の設定項目 1,342 件を暗号化し、身代金要求・支払いアドレス・連絡先メールを記した恐喝テーブルを作成。暗号鍵はランダム生成されたが保存も送信もされず、データ復旧を事実上不能にした。
  • 核心: 攻撃者の LLM が対象の状況に応じて生成・修正する行動が、対象システム側で「この行動を、この主体が実行してよいか」を実行の前に独立検証されず、事前に block できなかった。

タイムライン

  • 2025-04: Langflow の未認証コード実行脆弱性 CVE-2025-3248 が開示される。
  • 2025-05 上旬: CISA が実環境での悪用を確認し、当該脆弱性を Known Exploited Vulnerabilities(KEV)カタログに追加。
  • 数週間にわたり: JadePuffer が露出した Langflow を起点に本キャンペーンを実行。Sysdig が数週間離れた複数セッションで、LLM が対象の文章を読み解いて行動を選ぶ挙動を観測。
  • 2026-07-03: Sysdig がキャンペーンの分析を公表。

注: 技術的事実と数値(暗号化された設定項目 1,342 件、悪用された CVE、手口の連鎖)は Sysdig の分析報告および同報告を伝える報道に基づく。初期侵入に悪用された CVE-2025-3248 は 2025 年に開示・KEV 追加済みの既知脆弱性であり、本事案の新規性は「LLM エージェントが攻撃の実行を自律的に担った点」にある。最新の一次情報を参照されたい。


攻撃ベクター

  1. 未認証コード実行による侵入: インターネットに露出した Langflow インスタンスを CVE-2025-3248 で悪用し、ホスト上での任意 Python コード実行を得る。
  2. LLM による偵察と秘密情報探索: LLM が API キー・クラウド認証情報・暗号資産ウォレット・設定ファイル・DB 認証情報を探索し、Postgres をダンプ。到達可能な内部アドレスとサービスを走査し、MinIO のアドレスを探して追加の認証情報を抽出。
  3. 永続化: Langflow サーバーに cron ジョブを設置して継続的アクセスを確保。
  4. 本番への横展開: root 認証情報を含むペイロードで、MySQL と Nacos 設定基盤を持つ本番サーバーに接続。
  5. Nacos の複数経路での掌握: 認証バイパス(CVE-2021-29441)の悪用、Nacos の既知の既定 JWT 署名鍵による有効トークンの偽造、root DB アクセスによる Nacos バッキング DB へのバックドア管理者の直接注入。
  6. リアルタイムの適応: LLM はログイン検証を通すためにペイロードを調整し、OS コマンド実行につながり得る User Defined Function(UDF)の有無を確認、完了マーカーを発行してからランサムウェアを展開。行レベル削除からスキーマ全体の削除へと段階的に踏み込み、その判断理由を自ら narration した。
  7. 暗号化と恐喝: Nacos の設定項目 1,342 件を暗号化し、身代金要求・支払いアドレス・連絡先を記した恐喝テーブルを作成。暗号鍵は保存も送信もされず、復旧を不能にした。

構造的論点

本事案は Pillar 03(エージェント権限証明)の agent-runaway カテゴリに属する。中心的な失敗 primitive は、攻撃者の LLM が対象の状況を読み解いてその場で生成・修正する行動が、対象システム側で「この行動を、この主体が実行してよいか」を実行の前に独立検証されず、事前に止められなかった点にある。攻撃の各手順は事前に用意された固定のスクリプトではなく、対象が返す情報に応じて LLM が動的に組み立てたものであり、既知パターンへの照合を前提とする検知は原理的に後追いになる。

本事案は Brief 009(GTG-1002、AI エージェントがサイバー攻撃の 80–90% を自律実行した初の報告)・Brief 031(AI エージェントが初期侵入から情報持ち出しまでを実行した)と同じ、AI が攻撃の実行そのものを担う系列にある。差別化点は、GTG-1002 が諜報、No.031 が攻撃ツールの動的生成に軸を置くのに対し、本事案は 実環境での自律型ランサムウェア(恐喝) であり、LLM が対象ごとにコードを書き換え、失敗を自己診断し、破壊の段階を自ら選んで narration した実地の記録である点だ。Brief 026(自律 AI ワーム、実行時に攻撃戦略を生成する脅威モデル)が研究上のモデルとして示した「実行時生成」が、本事案では実被害として観測された。初期侵入が Langflow の未認証コード実行(CVE-2025-3248)である点、横展開先の Nacos が既定 JWT 署名鍵と認証バイパスで掌握された点は、Brief 066(LiteLLM、一般権限のまま AI ゲートウェイ管理者とコード実行に到達)・Brief 046(ServiceNow、設定ひとつで未認証照会)と同じく、「到達=実行」になり行動前の権限検証層が欠けていた基盤特性に連なる。secondary に、露出した AI 基盤が起点・中継になった点で agent-infrastructure、未認証到達が実行に直結した点で identity-auth を併記する。

エージェントが行動を自律生成する時代には、防御側が「攻撃コードの見た目」を照合するだけでは追いつかない。行動を生成するのが人間か LLM かに関わらず、システムが受理する「行動」ごとに、それを要求する主体の権限が推論ループの外で独立検証され、かつその行動の記録が改ざん耐性を持って残って初めて、基盤を実務に安心して載せられる。


検出と証明の落差

CVE としての早期開示(CVE-2025-3248 の 2025 年の開示と KEV 追加)、露出インスタンスの把握、Sysdig による挙動分析と公表は、露出面の縮小と対応の優先順位付けに不可欠であり、本 Brief がその役割を否定するものではない。既知の悪用パターンやランサムウェアの痕跡を検知することも、被害の早期発見に寄与する。検出は確かに役割を果たす。

一方で、本事案の攻撃コードは LLM が対象ごとに新規生成し、失敗に応じて書き換えられた。Sysdig が指摘するように、LLM は対象が提示する自由記述の文脈を読み解いて行動しており、これはスキャナのパターン照合では捉えにくい。署名・パターンに依存する検知は、まだ観測されていない新規の生成物には原理的に後追いになる。欠けていたのは、システムが受理する行動(コード実行・設定変更・DB 操作)ごとに、それを要求する主体の権限を実行の前に独立検証し、権限の証明が伴わなければ block する層であり、これは攻撃コードの中身を見分ける検知とは別系統の検証である。加えて、事後の監査で「この一連の破壊的操作は、正規に認可された主体によるものか」を立証する材料として、システムログに操作が記録されていたという事実だけでは、行動の主体と権限の独立した証跡にならない。

事前証明(pre-execution attestation)は、破壊的になり得る操作(コード実行・設定の暗号化・スキーマ削除)の前に、それを要求する主体の権限を、推論ループやコードの見た目とは切り離して独立検証する。権限の証明が伴わなければ、その行動が新規に生成されたものであっても実行を事前に block する。あわせて、実行された行動の来歴を改ざん耐性を持って記録することで、事後の立証と切り分けを可能にする。攻撃コードの検知(detection 的な「この見た目は悪性だ」)と、行動ごとの権限の事前証明(「この主体はこの操作を実行する権限を持つ」)は代替ではなく 補完 の関係にあり、両者が重なって初めて、自律エージェントが行動を生成する環境を安心して実務に出せる。


対応経緯と業界動向

  • Sysdig: JadePuffer のキャンペーンを分析・公表。LLM が対象の文脈を読み解いて行動を適応させる挙動を複数セッションで観測し、露出したアプリケーションサーバー・堅牢化されていない設定ストア・インターネットに面した DB 管理アカウントを最初に狙われる面として警告した。
  • CVE-2025-3248(Langflow): 2025 年に開示され、CISA KEV に追加済み。修正版への更新と露出面の遮断が対応として周知されている。
  • Nacos: 認証バイパス(CVE-2021-29441)と、広く知られた既定の JWT 署名鍵の問題が悪用された。既定署名鍵の変更・認証の堅牢化・管理面のインターネット非公開が運用上の論点として共有された。
  • 業界横断の論点: Sysdig は、LLM エージェントが悪性操作の障壁を下げ、「有能な人間」ではなく「有能なモデル」があれば攻撃が成立するようになったと指摘。攻撃者はほぼゼロコストで既知手口を組み合わせて放置された基盤を突けるため、エージェント型ツールの成熟に伴いこの種のキャンペーンの量と幅が増えると見込まれている。

Lemma による分析

本事案で露呈した検出と証明の落差(LLM が生成する行動が、実行の前に主体の権限を独立検証されずに動く)に対し、Lemma は以下の設計を提示する。

  • 行動ごとの権限の事前証明: コード実行・設定変更・DB 操作のような、破壊的になり得る操作の前に、それを要求する主体の権限を、推論ループやコードの見た目とは切り離して独立検証し、証明が伴わなければ実行を事前に reject する(proof-as-auth)。
  • 推論ループ外の決定論的境界: 行動を生成する主体が人間か LLM かに関わらず、システムが受理する行動の認可を、モデルの出力そのものに委ねず、外部の決定論的な検証層に置く。
  • 行為来歴の改ざん耐性記録: 実行された行動の来歴を改ざん耐性を持って固定し、事後に「どの主体が、どの権限で、何を実行したか」を立証可能にする。
  • 選択的開示: 主体の権限属性そのものを開示せずに、「この主体はこの操作を実行する権限を持つ」ことだけを最小開示で証明する。

検出(事後の悪用検知・脆弱性のパッチ適用・露出面の把握)は被害の是正に、事前証明(破壊的操作の前の権限の独立検証)は自律エージェント環境の信頼確立に、それぞれ相補的に働く。


Sources


Brief 配布について

本資料は公開情報の構造化分析であり、特定組織への監査・診断・推奨ではありません。


(c) 2026 FRAME00, INC. — Built for decisions that matter.

Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"JadePuffer:AI エージェントが侵入から認証情報の窃取・横展開・暗号化までを、その場で判断しながら自律実行したランサムウェア攻撃".
Lemma Critical Brief No.097. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/097-jadepuffer-langflow-agentic-ransomware/