JADEPUFFER——史上初の完全自律型AIランサムウェア
Sysdigの研究チームが7月に発表したレポートによれば、JADEPUFFERは大規模言語モデル(LLM)エージェントによって全工程が自動化された、初めて文書化されたランサムウェア事例だ。
攻撃の起点は、オープンソースのLLMアプリ構築フレームワーク「Langflow」の脆弱性(CVE-2025-3248)だ。 認証なしでリモートコード実行が可能なこの脆弱性を突いて、AIエージェントはターゲット環境へのアクセスを確立した。
そこからMySQLサーバー(Alibaba Nacos)へラテラルムーブメントし、ルート認証情報を取得。 最終的に1342件のサービス設定データを暗号化し、オリジナルを削除した。
「31秒の自己修正」が示す新次元の脅威
このケースで最も注目すべきは、攻撃の「適応能力」だ。
ログイン試行が失敗すると、AIエージェントは次のアプローチを31秒以内に特定・実行した。 人間のハッカーなら失敗後に戦略を見直すまで数分から数十分を要するところを、AIは即座に適応する。 「失敗→学習→再試行」のループが超高速で回り続けるのだ。
さらに驚くべき証拠がある。 攻撃のペイロードコードに、AIが生成したと思われる「自然言語コメント」が大量に埋め込まれていた。 「なぜこのデータベースを優先するか」「次のステップの目的は何か」といった説明が、コードの随所に残されていた。
人間のハッカーは使い捨てのコードにコメントを書かない。 だがLLMのコード生成はデフォルトで注釈を付ける——これがAI起源の「証明書」になったと研究者は指摘する。
攻撃者の「AIコスト」は驚くほど低い
エンジニアが見落としがちな視点がある。この種の攻撃を実行するコストだ。
攻撃者がオープンソースのLLMエージェントフレームワーク(Langflow等)を使い、無料か低コストのモデルを組み合わせれば、自律型攻撃ツールの構築コストはほぼゼロに近い。 高度なサイバー犯罪集団しか実行できなかった「APT(Advanced Persistent Threat)級の攻撃」が、技術水準の低いアクターでも再現可能になるリスクがある。
防御側はその非対称性を直視しなければならない。 Claude CodeのBedrock・Google Cloudゲートウェイ構築など守備面のAI活用も進んでいるが、攻撃側の「民主化」の速度は速い。
LangflowとAIフレームワーク脆弱性の深刻さ
JADEPUFFERが突いたCVE-2025-3248は、Langflowの認証バイパス脆弱性だ。 LangflowはローカルでもクラウドでもAIアプリ開発に広く使われているフレームワークであり、LLMアプリのプロトタイピングで多くの開発者が利用している。
この脆弱性は2025年中に発見・公開されたが、パッチ適用が追いついていない組織が今もターゲットになり得る。 「AIを使って作る」ツール自体が、「AIによる攻撃」の標的になるというアイロニーだ。
開発チームはLangflowを含むAIミドルウェアのバージョン管理と脆弱性スキャンを今すぐ見直すべきだろう。
自律型AIサイバー攻撃への3つの防御原則
JADEPUFFERへの具体的な対策は以下の3点に集約される。
まず、AIフレームワーク(Langflow、CrewAI、AutoGenなど)の即時パッチ適用と、認証要件の徹底確認だ。 次に、データベース(MySQL、Nacos等)へのラテラルムーブメントを検知するネットワーク監視ルールの強化。 AIエージェント特有の「短時間に大量のサービスアクセス」パターンを検知できるアラートを設定することが重要だ。 そして最後に、重要なサービス設定データのオフライン・イミュータブルバックアップ体制の整備。 暗号化されても即座に復元できる構造が、自律型AIランサムウェア時代のBCPの基本だ。
「前提の更新」が最も重要な対策
JADEPUFFERが問いかける本質的な変化は、「攻撃の民主化」だ。
これまで高度な標的型攻撃には、経験豊富なハッカーチームが必要だった。 AIエージェントはその人材コストをほぼゼロにする。 防御側のエンジニアは、今後は「AIが自律的に攻撃してくる」という前提でシステム設計を考え直す必要がある。
セキュリティ設計の「人間性善説」——つまり「攻撃者もリソース制約がある」という暗黙の前提は、もはや成り立たない。 あなたの組織のセキュリティ体制は、「人間が操作する攻撃」に最適化されていないだろうか。 自律AIが敵になる時代、何から見直すべきか——今一度チェックリストを引き出す時だ。
ソース: