サイバーセキュリティ

初の自律型AIランサムウェア攻撃、それでも人間が不可欠だった

Adrian Kessler

先ごろセキュリティ業界の見出しを飾ったランサムウェアは、ハッカーが端末を監視しながら操作したものではなかった。AIエージェントが攻撃の技術的全工程を自律的にこなしたのだ──ネットワークのマッピング、認証情報の窃取、システム間の移動、そして1000件以上のデータベースレコードの暗号化まで。ただし、独自の決済インフラを構築したり、身代金要求を送信したりすることはできなかった。

クラウドセキュリティ企業Sysdigがこの侵入事案を文書化し、JadePufferと名付けた。エージェントはCVE-2025-3248を介して侵入した。これはAIアプリケーション構築用のオープンソースフレームワークLangflowに存在する、認証不要のリモートコード実行の脆弱性である。その足がかりから、環境内のAPIキー、クラウドアクセストークン、データベース認証情報をくまなく探索し、本番環境のMySQLサーバへと移動して、Nacosに保存されていた1342件の設定項目を暗号化した。Nacosは中国系インフラスタックで広く使われるエンタープライズ向けサービスレジストリである。

最も注目すべき点は攻撃の広範さではなく、その自己修正能力である。パス設定エラーによって管理者認証情報の偽装試行が失敗した際、エージェントは根本原因を診断し、15ステップからなる修正スクリプトを自ら作成し、31秒で実行した。人間のオペレーターが診断、スクリプト作成、実行をこれほど迅速に行うことは不可能であり、この動作は、スクリプト化されたプレイブックではなく、真のオンザフライ推論を示している。

とはいえ、ランサムウェア攻撃が人間を介さずに実行されるようになるわけではない。今回の攻撃でも、エージェントを展開する前に、人間が指令サーバを設定し、ProtonMailに身代金連絡先を登録し、インフラを構築する必要があった。JadePufferが生成した暗号鍵は決して保存も送信もされなかった。つまり、被害者が身代金を支払ってもデータを復旧できないということであり、これは、運用設計の稚拙さか、攻撃後の交渉への無関心のいずれかを反映している。

JadePufferが実際に示しているのは、コスト削減であって、完全な委譲ではない。これまで専門知識を必要としていたすべての工程──ラテラルムーブメント、権限昇格、データベース列挙、リアルタイムのエラー修正──を、エージェントに委任できるようになったのである。Sysdigの結論は明快だ。ランサムウェア攻撃に必要なスキルの最低ラインは、言語モデルを運用するコストにまで低下した、と。

今回の攻撃は、インターネットに露出したLangflowのインストール環境を標的にしていた。LangflowのCVEが公開された時点で、約7000の脆弱なインスタンスが報告されていた。パッチ未適用のLangflowや、同様のオープンソースLLMインフラをインターネット向けサーバで運用している組織は、すべて同じ露出の窓口にさらされている。これは新しいアドバイスではない。AIエージェント登場以前から存在する、同じ姿勢のガイダンスである。違いは、露出したサービスを探りに来る攻撃者が、今や自動化されている点だ。

Langflowの脆弱性は2025年4月に修正された。SysdigはC2のIPアドレスや身代金連絡先を含む、完全な侵害指標(IoC)を公開している。CISAは今年後半に、エージェンティックAIシステムの制約に関するドラフトガイダンスを発表する予定である。展開されたAIエージェントの権限範囲がどこまでか、そして説明責任がどこから始まるのかという問題は、まだ政策として結実していない。

タグ: , , , , ,

ディスカッション

0件のコメントがあります。