AIエージェントがLangflowの脆弱性を悪用し自動でサイバー攻撃を実行

セキュリティニュース

投稿日時: 更新日時:

AIエージェントがLangflowの脆弱性を悪用し自動でサイバー攻撃を実行

クラウドセキュリティ企業のSysdig脅威リサーチチームは2026年7月1日、JADEPUFFERと名付けた攻撃者について報告しました。

これまでもランサムウェア攻撃にAIツールが部分的に使われた事例は確認されてきましたが、Sysdigが今回のケースを特に重視しているのは、初期侵入から認証情報の窃取、内部の探索、本命サーバへの侵入、そして身代金要求に至るまでの一連の流れを、人間が逐一操作するのではなく大規模言語モデル(LLM)が最初から最後まで自律的に実行したとみられる点です。

当サイトでも以前、Claude Codeを悪用した大規模なサイバースパイ活動をAnthropicが阻止した事例や、ロシア系の脅威アクターがAIエージェントを使ってEDR回避マルウェアを自動開発した事例を取り上げてきましたが、それらはあくまで人間の攻撃者がAIを道具として使う形でした。今回のJADEPUFFERは、Sysdigいわく攻撃能力そのものが人間の攻撃者ではなくAIエージェントによって提供される、エージェント型脅威アクターと位置づけられている点で一線を画しています。

サマリー

  • Sysdig脅威リサーチチームは、AIエージェントが最初から最後まで自律的に実行したとみられる、初めて確認されたランサムウェア攻撃をJADEPUFFERと名付けて報告した
  • 初期侵入は、インターネットに公開されていたLangflowインスタンスに対する脆弱性CVE-2025-3248(未認証のリモートコード実行、CVSS 9.8)の悪用によるもので、この脆弱性は2025年4月に公表され、5月にはCISAの既知悪用脆弱性カタログにも追加されている
  • 侵入後、LLMは即座にホストの情報を収集し、OpenAIやAnthropicなど各社のAPIキー、AWS・GCP・Azureに加えて中国系クラウド事業者(アリババ、テンセント、ファーウェイ等)の認証情報、暗号資産ウォレットの情報などを並行して探索した
  • MinIOのオブジェクトストレージを初期設定のままの認証情報で発見し、terraform-stateバケットや設定ファイルから認証情報を取得するなど、失敗すればその場でやり方を変えるという柔軟な挙動を見せている
  • 本命の標的は、MySQLデータベースとアリババのNacos設定管理サービスを稼働させていた別の本番サーバで、既知の認証バイパスの脆弱性と、公開されて久しいNacosの初期署名鍵を使ったトークン偽造を組み合わせて侵入した
  • 最終的にNacosの設定項目1,342件をMySQLの暗号化関数で暗号化し、身代金要求のテーブルを作成しているが、暗号化に使った鍵は一度画面に表示されただけで保存も送信もされておらず、身代金を支払っても復号は不可能な状態になっている
  • Sysdigは、攻撃の各段階で人間が書くことのない自然言語による説明的なコメントが残されていたことや、ログイン失敗からわずか31秒で原因を診断し修正した挙動などを根拠に、この攻撃が自律的なAIエージェントによって駆動されたと評価している
項目 内容
公表日 2026年7月1日(Sysdig脅威リサーチチーム)
攻撃者名 JADEPUFFER(エージェント型脅威アクターと分類)
初期侵入の脆弱性 CVE-2025-3248(Langflow、未認証RCE、CVSS 9.8)
侵入経路 インターネットに公開されたLangflowインスタンス
最終標的 MySQLとアリババNacosを稼働させる別の本番サーバ
最終標的への侵入手法 Nacos認証バイパス(CVE-2021-29441系)+初期設定のJWT署名鍵を使ったトークン偽造
被害の内容 Nacos設定項目1,342件の暗号化、既存テーブルの削除、身代金要求テーブルの作成
復旧の可否 暗号化鍵が保存・送信されていないため、支払っても復号不可能
持続化の手口 30分ごとに外部C2へ通信するcrontabエントリ

何が起きたか

JADEPUFFERの攻撃は大きく2つの局面に分かれています。

1つ目は、インターネットに公開されていたLangflowというオープンソースのLLMアプリケーション構築フレームワークへの侵入です。

Langflowにはコード検証用のエンドポイントに認証の欠落があり、認証なしに任意のPythonコードをホスト上で実行できる脆弱性(CVE-2025-3248)が2025年4月に公表され、5月にはCISAの既知悪用脆弱性カタログにも登録されています。

しかし1年以上が経過した現在も、パッチが未適用のままインターネットに公開されているインスタンスは少なくないとされ、JADEPUFFERはこうした放置されたサーバーの1つを足がかりにしました。

侵入後の挙動が今回の報告の核心です。

LLMはまずホストのユーザー情報やネットワーク構成、稼働中のプロセスを調べたうえで、OpenAIやAnthropic、DeepSeek、Geminiなど複数のLLM事業者のAPIキー、AWS・GCP・Azureの認証情報に加えて、アリババやテンセント、ファーウェイといった中国系クラウド事業者の認証情報も名指しで探索しました。

あわせて暗号資産のウォレットやシードフレーズ、データベースの認証情報も対象になっています。Langflow自身が使うPostgreSQLデータベースの中身も取得され、認証情報やAPIキー、ユーザー情報が窃取されています。

内部のネットワークを調べる過程で、LLMはMinIOというS3互換のオブジェクトストレージが応答することを見つけ、初期設定のまま変更されていない管理者アカウントの認証情報でログインに成功しました。

バケットの一覧を取得し、terraform-stateバケットや内部設定用のバケットを優先的に確認したうえで、.envファイルや認証情報が記載されたJSONファイルを取得しています。興味深いのは、最初に試したリクエストの形式がAPIの想定と異なりXML形式で応答が返ってきた際に、LLMがその場でパーサーの実装をXML形式に合わせて修正し、そのまま処理を続けたという点です。人間であれば手が止まるような細かなつまずきに対しても、即座に軌道修正しながら探索を続けたことがうかがえます。

最後にLangflowのサーバー上へ、30分おきに外部の指令サーバーへ通信するcrontabのエントリを仕込み、持続的なアクセスを確保しました。

本命はNacos-認証バイパスとroot権限奪取後の綿密な挙動

Langflowのサーバーから見つかった情報から、JADEPUFFERの本当の狙いは別の場所にあったことが分かっています。

MySQLデータベースと、アリババのマイクロサービス基盤で広く使われる設定管理サービスNacosを動かす、インターネットに公開された本番サーバーです。

Nacosの認証の仕組みには2021年に報告されたバイパスの脆弱性があり、さらに初期設定のJWT署名鍵が2020年から広く知られたまま変更されずに使われているケースが多く、この鍵さえ分かればトークンの偽造は容易です。

JADEPUFFERはこの認証バイパスと、公開されているMySQLのroot権限(どこから入手したものかは特定できていません)を組み合わせて、Nacosの管理者データベースへ直接バックドア用の管理者アカウントを仕込みました。

この過程で観察された挙動が、単純な自動化ツールとは一線を画すものでした。

最初にbcryptでハッシュ化したパスワードを使って新規管理者アカウントを作成する処理を実行したものの、ログイン確認は失敗しています。ログはこの後の展開を秒単位で記録しており、12秒後には別の初期設定アカウントの認証情報を試しながら、同時によりシンプルなパスワードでのハッシュ生成も並行して試すという2方向の切り分けを行い、そのさらに19秒後には、サブプロセス経由でのハッシュ生成が実行環境の問題で失敗していた可能性を突き止め、直接ライブラリを読み込む方式に切り替えて修正済みのアカウントを作り直しています。

最初のログイン失敗から正しい修正が完了するまでの時間は31秒でした。あわせて、Docker のソケットファイルや権限情報を読み取れるかを段階的に試す、コンテナ脱出の下調べとみられる一連の確認も約8分にわたって行われ、最後には調査用に作成した一時テーブルを削除する後片付けまで実行されています。ランサムウェアの実行に移る直前には、準備が完了したことを示す完了マーカーの書き込みも確認されており、あらかじめ用意された固定のスクリプトではなく、状況を見ながら段階的に作業を進めるエージェントらしい振る舞いだとSysdigは指摘しています。

1,342件の設定を暗号化し、復号不能な形で恐喝

最終段階では、Nacosの設定項目1,342件がMySQLの暗号化関数を使って暗号化され、元の設定テーブルと履歴テーブルが削除されたうえで、身代金要求の文面とビットコインアドレス、連絡先を記載したテーブルが新たに作成されています。ここで重要なのは、暗号化に使われた鍵がランダムな値から生成され、実行結果の画面に一度表示されただけで、どこにも保存や送信がされていない点です。つまり、被害組織が身代金を支払ったとしても、暗号化された設定を元に戻す手段はどこにも残っていないことになります。攻撃の最終局面では、行単位の削除にとどまらず、データベーススキーマ全体を削除する破壊的な処理にまで発展しており、その過程でどのデータベースを削除するかの優先順位についても、コード中に理由を書き添えながら進めている様子が確認されています。

なぜ自律型AIによる攻撃だと判断できるのか

Sysdigがこの攻撃をAIエージェントによる自律的なものだと判断した根拠は主に4点です。

1点目は、実行されたコードのいたるところに、なぜその操作を行うのかを説明する自然言語のコメントが残されていたことです。使い捨てのワンライナーにここまで丁寧な説明を書き添えるのは、人間の攻撃者にはあまり見られない習慣で、LLMがコードを生成する際に自然と生まれる特徴だとされています。

2点目は、前述の31秒での障害診断と修正のように、失敗した際の原因特定と修正のスピードと精度です。

3点目は、対象の環境から得られた自由記述のテキストを、単なるパターンマッチングではなく文脈として理解したうえで行動を変えている点です。

4点目は、身代金要求に記載されたビットコインアドレスを巡る、なお解明されていない謎です。このアドレスは、ビットコインの開発者向けドキュメントの中で例として繰り返し使われている、いわば教科書的なサンプルアドレスと完全に一致しています。

学習データの中に大量に含まれていておかしくないものです。一方でブロックチェーン上の記録を確認すると、このアドレスは実際に737件の取引履歴を持ち、これまでに約46ビットコインを受け取っている稼働中のウォレットでもあり、入金はそのたびに別の口座へ即座に転送されているとのことです。Sysdigは、LLMが学習データからこの例示用アドレスをそのまま引用してしまった可能性と、攻撃者があえてこの例示アドレスと偶然一致する実在のウォレットを設定に使っていた可能性の両方があり、手元のデータだけではどちらとも判断がつかないとしています。600件を超える一貫性のある個別の処理が、比較的短い期間に実行されていたことも踏まえると、固定のツールキットではなく自律的なエージェントが攻撃全体を駆動していたと考えるのが妥当だとSysdigは結論づけています。

情報システム部門への示唆

JADEPUFFERが悪用した個々の技術要素そのものは、目新しいものではありません。2021年に報告された認証バイパスや、変更されないまま放置された初期設定の署名鍵、インターネットに公開された管理者アカウントといった、いずれも以前から知られていた設定不備です。裏を返せば、こうした基本的な不備を放置している組織は決して少なくないということでもあります。当サイトでは以前、LangflowのCSV Agentに存在した別の未認証RCE脆弱性も取り上げましたが、Langflowのような比較的新しいAI開発フレームワークは、機能追加のスピードが速い一方でこうした脆弱性が繰り返し見つかっており、パッチ適用の優先度を高く保つ必要があります。

実務的な対策として、まずLangflowをはじめとするAIオーケストレーション用のサーバーについて、コード実行や検証を行うエンドポイントをインターネットに公開しない運用を徹底することをお勧めします。あわせて、こうしたサーバーにLLM事業者のAPIキーやクラウドの認証情報を直接保存せず、シークレット管理サービスに切り出してWebから到達可能なプロセスからは切り離しておくことも重要です。Nacosを利用している場合は、公開されているドキュメント上の初期設定の署名鍵をそのまま使っていないか、インターネットに公開されていないか、そしてバックエンドのデータベースへroot権限で接続していないかを必ず確認してください。データベースの管理者アカウントについても、インターネットから到達可能な状態を避け、接続元IPの制限を設定することが基本的な防御になります。

今回のように、攻撃者自身が実行の理由を自然言語でコード中に書き残すという挙動は、防御側にとって新しい手がかりにもなり得ます。侵害の痕跡を調査する際に、説明的なコメントを大量に含むスクリプトが見つかった場合は、人間が書いたものというより自動生成された攻撃コードである可能性を念頭に置いて調査を進めることをお勧めします。エージェント型のAIツールが攻撃側にも実用段階で使われ始めている以上、既知の脆弱性やありがちな設定不備を放置しないという基本的な対策の重要性は、これまで以上に高まっていると感じています。

出典