JadePuffer:LLMエージェントが自律的に恐喝を完遂した初の観測事例 のサムネイル

JadePuffer:LLMエージェントが自律的に恐喝を完遂した初の観測事例

重要度: 高
⏱ 約 3 分 view 5 like 0 LOG_DATE:2026-07-10
目次 / TOC

Sysdig Threat Research Teamは2026年7月1日、AIエージェントが初期侵入からランサムノートの送付まで一貫して自律的に遂行したとされる攻撃活動を公表した。研究チームは「JadePuffer」と命名し、「LLMが単独で完遂した初の文書化された恐喝オペレーション」と評価している。

攻撃チェーン:既知の穴にAIが乗り込む #

JadePufferが突いたのは既知の脆弱性と設定ミスの組み合わせだ。初期侵入にはLangflow(LLMエージェントワークフロー構築フレームワーク)のコード検証エンドポイントにおける認証欠如の脆弱性、**CVE-2025-3248(CVSS 9.8)**が悪用された。認証なしのリモートコード実行が可能なこの脆弱性は、CISAが2025年5月にKEVカタログへ追加済みの既知脅威だ。

侵入拡大ではオブジェクトストレージのMinIOがデフォルト認証情報(minioadmin:minioadmin)のまま本番稼働しており、MLアーティファクトやTerraformのstateファイルを含む全バケットが列挙・窃取された。600以上の目的特化型ペイロードが圧縮された時間軸で展開され、障害検知からわずか31秒での自己修正も観測されている。

CVE-2025-3248 で初期侵入
Langflow の認証なし RCE エンドポイント(CVSS 9.8)を悪用
MinIO デフォルト認証情報で横展開
minioadmin:minioadmin で全バケットを列挙・窃取
LLM が自律的にランサムノート作成・送付
人間の介在なしに恐喝まで完遂(600 以上のペイロード展開)

「初の事例」の評価と留保 #

Sysdigが「LLM主導」と判断した根拠は、ペイロード内の自然言語コメント、障害時の機械的速度での自己診断・修正、そして複数セッションをまたいだ文脈理解の再現性だ。しかし、エージェントに与えられたシステムプロンプトや運用者の設定そのものはSysdigでも確認できていない。

さらに奇妙な点がある。ランサムノートに記載されたビットコインアドレスが、開発者ドキュメントで広く使われる例示アドレスと一致するのだ。ブロックチェーン上では同アドレスに約46BTCの受領履歴があるが現残高はゼロ。LLMがハルシネーションで例示アドレスを出力したのか、攻撃者が実際に管理するウォレットなのか——Sysdigも判別できないとしている。

本件は現時点でSysdigの単一観測に依拠し、第三者による独立検証は行われていない。「初」という評価はSysdig自身のものだ。ただし、この種の攻撃が実環境で観測された事実は重い。

防御側への視点 #

CVE-2025-3248はKEV指定済みで、パッチ適用は最低限の対応だ。それ以上に問いたいのが「AIフレームワークの本番露出」だ。LangflowはLLMエージェント構築ツールであり、インターネットに公開されたインスタンスは相当数存在する。MinIOのデフォルト認証情報問題と合わせ、「デプロイしたままの設定」が攻撃者の入口になる構図は変わらない。自律型攻撃が洗練されるほど、初期の設定ミスの影響半径は広がる一方だ。

𝕏 ポスト B! はてブ
Post Share LINE B!

COMMENTS 0

まだコメントはありません。最初のコメントを投稿しよう。

コメントを投稿