AI 全自動「ハッカーによる身代金要求攻撃」暴露!コードネーム JadePuffer 専用で暗号通貨ウォレットを狙う

資安公司 Sysdig は 7 月 1 日、コードネーム JadePuffer の攻撃を明らかにした。研究者たちは、これが史上初の「AI Agent」による全自動実行型のランサムウェア攻撃だと認定している。LLM 駆動の agent が自分で踏み込み(偵察)、アカウント情報を盗み、横方向への移動、暗号化データへの権限昇格まで、完全な攻撃チェーンを完遂したうえで、管理者ログインの失敗時には 31 秒以内に自ら debug して直し、さらに被害者の暗号資産ウォレットに狙いを定めていた。ただし、実際に実行したのは人間である。
(前提:Microsoft Copilot Cowork で重大な脆弱性が発覚:AI Agent がプロンプト攻撃により自動で企業機密ファイルを漏えい)
(補足:Google、Meta の研究員が共同で呼びかけ:AI Agent の安全性はモデルの問題ではなく、システムの問題)

目次

Toggle

  • 31 秒で自分でバグを直す、人間ができない速さ
  • 暗号ウォレットに特化
  • しかし被害者はやはり人が選んでいる

要点まとめ

  • Sysdig は 7/1 に JadePuffer を公開し、史上初の AI Agent による全自動実行型ランサムウェア攻撃だと認定
  • LLM agent が自律的に偵察から暗号化までの攻撃チェーンを完了し、ログイン失敗時も 31 秒で自分で修正。合計 600 件超の、口語的な注釈付き payload を実行
  • agent は暗号通貨のウォレットと OpenAI、Anthropic などの API キーに専念するが、被害者の選定とインフラの構築は依然として人間

セキュリティ企業 Sysdig は 7 月 1 日にレポートを発表し、6 月末に発生したコードネーム JadePuffer の侵入事件を明らかにし、これが記録に残る限り初めての、AI Agent 端から端まで自律実行されたランサムウェア攻撃だと判断した。これは LLM 駆動の agent で、偵察、認証情報の窃取、横方向の移動、権限昇格、そして最後にデータベースを暗号化する一連の流れを自ら完了した。

攻撃の入口は、オープンソースフレームワーク Langflow の重大な脆弱性 CVE-2025-3248(CVSS 9.8 のリモートコード実行脆弱性。Langflow は LLM アプリを組むための人気ツールだ)である。agent はここから侵入し、さらに Nacos の認証バイパスを使って正式環境の MySQL データベースへ跳び、最終的に Nacos の設定項目 1,342 件を暗号化し、自ら身代金要求の手紙も書き上げた。

31 秒で自分でバグを直す、人間ができない速さ

Sysdig が背後は AI だとして人間ではないと断言できたのは、いくつかの「人間らしくない」細部にある。攻撃の過程で、agent は管理者アカウントを作ろうとしてバグに踏み込み、ログイン失敗時に空のパスワードハッシュを返した。エラーメッセージを読み終えると、その場で手順をサブプログラムの呼び出しから bcrypt 関数ライブラリの直接取り込みへ切り替え、壊れたアカウントを削除し、正しいハッシュで再構築してからログインに成功するまでを、前後わずか 31 秒でやり切った。

一連の行動で Sysdig が側録できたのは 600 件超の、目標が明確な payload で、しかも各段階がすべて「平易な注釈」付きで、このステップの目的、優先順位、処理ロジックが説明されていた。このように「実行しながらつぶやく」書き方こそ、LLM がコードを生成するときの典型で、人間のハッカーはあまりこのように書かない。

さらに微妙なのは、Sysdig が攻撃過程で 1 つのモデルだけでなく複数のモデルが使われていたことを確認した点だ。agent が偵察しているとき、ついでに OpenAI、Anthropic、Google、DeepSeek の API キーをすべて集めていた。

暗号ウォレットに特化

暗号界隈にとって、いちばん警戒すべきなのは「抜き取られる対象のリスト」である。この agent は被害者のシステム内にある暗号通貨ウォレットとシードフレーズ(助記詞)をスキャンするよう明確に設定されており、同時にクラウドサービス事業者(アリクラウド、テンセントクラウド、華為雲)の認証情報とデータベースのアカウント情報もパッケージ化して盗んでいた。

これは意外でもない。暗号通貨は長年、ランサムウェアの最有力な受け取り手段であり、追跡しにくく、国境をまたぎ、銀行を経由する必要がない。今では AI が攻撃コストを極端にまで下げたことで、資産そのものもターゲットとして直接リストに載るようになった。ハッカー集団の分業でないと回らないような一連の手順も、いまでは agent にいくつかのオープンソースツールを加えるだけで複製できる。

だが被害者は結局、人間が選んでいる

煽り文句としては派手だが、ここには重要なポイントがある。技術的な実行チェーンは確かに AI が自律で担い、さらにその場での応急対応もする。しかし「誰を攻撃するか」を最終的に決めるのは、やはり人間だ。人間が被害者を選び、攻撃のための基盤を用意し、最初に盗んだ認証情報を agent に渡す。AI が引き継ぐのは後半の「重労働」部分である。真に自動化されているのは「どうやって攻撃するか」であって、「誰を攻撃するか」ではない。

よくある質問

JadePuffer とは何?なぜ史上初の AI による全自動ランサムウェア攻撃と言われるの?

JadePuffer はセキュリティ企業 Sysdig が 2026 年 7 月に明らかにした攻撃事案で、LLM 駆動の AI agent が偵察、認証情報の窃取、横方向の移動、暗号化データへの権限昇格までの完全なランサム処理を自律的に完遂し、さらに自ら身代金要求の手紙を書いたケースだ。Sysdig は、これが初めて記録されたものであり、AI が端から端まで実行したランサムウェア攻撃だと判断している。

この AI 攻撃と暗号通貨にはどんな関係がある?

当該 AI agent は、被害者のシステム内にある暗号通貨ウォレットと助記詞を専用にスキャンするよう設定されており、OpenAI、Anthropic、Google、DeepSeek の API キーやクラウドの認証情報と一緒に窃取する。暗号通貨は長年ランサムウェアの受け取り手段として最有力で、現在では資産そのものが直接の標的にもなっている。

原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし
  • ピン留め