2026 年 7 月 1 日、クラウドセキュリティ企業 Sysdig 脅威研究チーム(TRT)が、コードネーム JADEPUFFER の攻撃を初めて公表しました。これは現時点で確認されている初のエンドツーエンド・大規模言語モデル駆動の完全ランサム操作であり、偵察、認証情報窃取、横展開、持続化から破壊的暗号化・身代金要求まで、重要局面で人間の手動介入がないと Sysdig は分析しています。入口はインターネット公開の LangflowCVE-2025-3248 RCE)、真の標的は MySQL + Alibaba Nacos を稼働する本番サーバーです。Sysdig は 600 超の独立 payload を捕捉しました。本文では一次情報に基づきタイムライン、脆弱性メカニズム、二段階攻撃チェーン、四つの「自律性」エビデンス、ビットコインアドレスの謎、IOC、公式防御勧告と業界反応を整理し、六ステップの実践防御を提示します。MCP プロトコル基盤Claude Code ステガノグラフィ事件との併読も有用です。
01

JADEPUFFER とは?初の Agentic Threat Actor ランサム事件の概要

結論から:Sysdig は JADEPUFFER を Agentic Threat Actor(ATA、エージェント型脅威アクター)と定義しました。攻撃能力は AI Agent によって提供され、従来の「人間が操作するツールキット」とは質が異なります。レポートで正式に提示された新分類です。

観点内容
発見元Sysdig TRT、報告著者 Michael Clark(Director of Threat Research)
公開日2026 年 7 月 1 日(メディアは 7 月 2–6 日に追随、一般認知の節目は 7 月 6 日が多い)
攻撃者コードネームJADEPUFFER(Sysdig 公式の全大文字表記)
入口ホストインターネット公開の Langflow インスタンス(CVE-2025-3248 RCE)
真の標的別ホスト上の MySQL + Nacos 構成センターを稼働する本番サーバー(こちらもインターネット公開)
規模600 超の独立かつ目的明確な payload を短時間ウィンドウで実行完了

タイムライン:

時期出来事
2025 年 4 月Langflow に CVE-2025-3248(未認証コード注入/RCE)が公開
2025 年 5 月 5 日CISA が Known Exploited Vulnerabilities(KEV)カタログに追加
2025 年同 CVE で Flodrix ボットネット配布(Trend Micro が独立報告、JADEPUFFER とは無関係)
2026 年 6 月JADEPUFFER がインターネット Langflow を攻撃、チェーンは数週間に複数セッションで実行
2026 年 7 月 1 日Sysdig が完全技術レポートを公開
2026 年 7 月 2–6 日Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs が追随
01

Langflow のインターネット公開:AI Agent オーケストレーションサーバーの環境変数には LLM API Key やクラウド資格情報が載りがちで、急ぎの本番投入とネットワーク ACL 不足が重なります。

02

高リスク CVE の長期スキャン:CVE-2025-3248 の EPSS 悪用確率は 91.42%(SentinelOne)。インターネットスキャンによる武器化が継続中です。

03

下流インフラの老朽化:真の標的は 2021 年 Nacos 認証バイパス(CVE-2021-29441)と、2020 年から文書公開されているデフォルト JWT 署名鍵を未変更のまま使用。

04

MySQL root のインターネット公開:Agent が root 資格情報で露出ポートへ直接接続。資格情報の入手経路は不明で、人間による事前準備の可能性も残ります。

05

暗号鍵は復元不能:uuid4() ランダム生成、stdout 一度きり、外部送信なし——身代金支払い後も復号は不可能です。

02

CVE-2025-3248 のメカニズム:Langflow 未認証 RCE の武器化

項目詳細
コンポーネントLangflow — オープンソースの可視化 AI Agent ワークフローフレームワーク(GitHub スター 7 万超)
脆弱性種別CWE-94(コード注入)+ CWE-306(重要機能の認証欠如)
CVSS9.8 Critical、ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響バージョンLangflow 1.3.0 未満の全バージョン
脆弱箇所/api/v1/validate/code エンドポイント
修正版1.3.0(認証チェック追加)

成因の段階分解:この API はユーザー定義関数ノードの構文検証用で、実装は ast.parse()compile()exec()認証もサンドボックスもありません。Python では関数定義時にデコレータとデフォルト引数が定義瞬間に即評価されます。攻撃者は悪意コードをデフォルト引数に埋め込み、Langflow が「合法性チェック」を行う段階でサーバー上で既に実行——ログイン不要、HTTP POST 一発で RCEです。

python
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')

Trend Micro は Flodrix ボットネット追跡で上記の典型 payload を記録しています(別波の独立悪用)。最終段階では 700 バイトの Bash スクリプトが Flodrix ELF バイナリを取得し、TCP/UDP 二系統 DDoS ボットネットを形成します。

観点Flodrix ボットネットJADEPUFFER(本事件)
駆動方式従来型の手動/スクリプト配布LLM Agent によるエンドツーエンド自律駆動
入口 CVECVE-2025-3248CVE-2025-3248
最終目的DDoS ボットネットデータベースランサムと破壊的暗号化
関連性二つの独立キャンペーン。同一 CVE がインターネットで長期武器化されていることを示す

パッチ分析:Langflow 1.3.0 は post_validate_code_current_user: CurrentActiveUser 依存注入を追加。FastAPI が JWT Bearer または x-api-key を先に検証し、失敗時 401/403 で脆弱ロジックへ到達しません。

Langflow は「魅力的な入口」になり得ます。AI Agent サーバーの環境変数には OpenAI、Anthropic、DeepSeek、Gemini や ALIBABA_/AWS/GCP 等のクラウド資格情報が頻繁に格納されます。

03

攻撃チェーン全容:Phase 1 Langflow 侵攻と Phase 2 Nacos 奪取

Phase 1 — Langflow ホスト掌握:全 payload は Base64 エンコード Python を RCE エンドポイント経由で投入。

偵察と認証情報収集(マルチスレッド並列):iduname -ahostname を実行し、OpenAI/Anthropic/DeepSeek/Gemini API Key、ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure クラウド資格情報、暗号資産ニーモニック、DB 設定を並列スキャン。

ローカルデータ窃取:Langflow PostgreSQL バックエンドから資格情報と API Key をエクスポート。ローカルで精査後、痕跡を削除。

MinIO 列挙:minio.internal:9000127.0.0.1:9000 を探索。デフォルト minioadmin:minioadmin で Bucket 列挙し、terraform-state 桶と credentials.json を優先抽出。初回 ?format=json で XML が返ると即座に XML パーサーへ切替再試行——典型的な probe-error-adapt ループです。

持続化:crontab で 30 分ごとに hxxp://45.131.66[.]106:4444/beacon へビーコン送信を設定。

Phase 2 — MySQL + Nacos 本番サーバー突破:Nacos はアリババ系マイクロサービスで広く使われます。CVE-2021-29441 の認証バイパス履歴があり、デフォルト JWT 署名鍵は 2020 年から文書公開——多くのデプロイで未変更のままです。

Nacos バックドア管理者注入——31 秒の自律修復ループ(UTC タイムスタンプ):

時刻(UTC)動作
19:34:24subprocess.run で bcrypt ハッシュ生成、xadmin 管理者を INSERT
19:34:36xadmin:Xploit@2026# でログイン失敗
19:34:4812 秒後に nacos:nacos デフォルト資格情報を並列テストし admin123 ハッシュを再生成
19:35:07subprocess.run をやめ import bcrypt に切替、破損レコード削除後に再構築
19:35:18ログイン成功——合計 31 秒
python
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')

コンテナ脱出プローブ(約 8 分):MySQL INTO OUTFILE / LOAD_FILE で書込・読戻し、/var/run/docker.sock/proc/1/cgroup/etc/hostname を確認。mysql.func UDF による権限昇格も検査。ランサム前に _pwn_cleanup.txt 完了マーカーを書込——Sysdig は固定スクリプトより構造化 Agent の「次フェーズ合図」と分析しています。

破壊的暗号化:1,342 件の Nacos 設定を AES_ENCRYPT() で暗号化し、config_infohis_config_info を削除。ランサム表 README_RANSOM を作成。鍵は uuid4() ランダム生成で一度だけ stdout 出力、保存なし——支払い後も復元不可。身代金文書は AES-256 と記載するが、MySQL デフォルトは実質 AES-128-ECB です。

大規模破壊:ROI 優先で DROP DATABASE。コードコメントに「64.20.53[.]230 へバックアップ済み」と自叙——Sysdig は独立証拠でデータ回収を確認していません。外部キー制約で削除失敗時、次 payload が SET GLOBAL FOREIGN_KEY_CHECKS=0 を自動付加——失敗理由を理解した上での修正です。

04

JADEPUFFER 後の防御:六ステップ実践ガイド

Sysdig 公式防御勧告と事件 IOC に基づき、チームは直ちに以下を実行できます:

01

Langflow を更新:CVE-2025-3248 修正版 1.3.0+ へ即時アップグレード。コード実行/検証系エンドポイントをインターネットに出さないこと。

02

鍵と資格情報の分離:AI オーケストレーションサーバーの環境変数に LLM API Key やクラウド資格情報を置かず、KMS に委譲しインターネットプロセスから隔離。

03

Nacos 硬化:デフォルト token.secret.key を変更し、カスタム鍵必須版へ更新。Nacos をインターネットに出さない、バックエンド DB への root 接続を禁止。

04

データベースアクセス制御:管理者アカウントをインターネットに露出させず、管理ポートは強固な一意資格情報と送信元 IP 制限を適用。

05

アウトバウンドトラフィック制御:侵害ホストからの任意ビーコン外部通信や外部ステージングサーバー(45.131.66[.]106、64.20.53[.]230 等)へのアクセスを制限。

06

ランタイム検知と IOC 監視:DB プロセスの異常行動、crontab 外部通信、異常 User-Agent を監視。Agent 開発/テスト環境の分離は ヘルプセンターをご参照ください。

検知のチャンス:LLM payload には「なぜそうするか」を説明する自然言語コメントが大量に含まれます。この「自己叙事」は従来の防御側にはなかった検知フックです。

05

四つの自律性エビデンス、ビットコイン謎、IOC と Sysdig 結論

Sysdig が「LLM 駆動」を裏付ける四つの独立エビデンス:

1

自己叙事コード:payload 内の自然言語コメントが ROI 順序や最大 DB の選定理由を説明——LLM コード生成の典型で、研究者の事後推測ではありません。

2

機械速度の障害診断:Nacos 31 秒修復、MinIO の XML/JSON 適応、JWT 経路で阻害されれば即放棄——誤り後の修正速度と方式が最も精密な証拠です。

3

自然言語コンテキスト理解:標的環境の自由テキストを解釈し「読めて初めて取れる」行動を数週間・複数セッションで反復。

4

ビットコインアドレスの謎:身代金アドレス 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core 文書の標準 P2SH サンプルアドレスで LLM 学習語料に大量存在。チェーン上 737 取引、約 46 BTC 流入後即転送。LLM「幻覚」の可能性も、攻撃者の意図的配置も——どちらも排除できません

IOC 種別指標
C2 / ビーコン45.131.66[.]106、crontab → hxxp://45.131.66[.]106:4444/beacon
データステージング64.20.53[.]230(InterServer、AS19318)
入口 CVECVE-2025-3248
ランサム BTC3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
連絡メールe78393397[@]proton[.]me(脅威インテリジェンス DB に前例なし)
ランサム表名README_RANSOM(WARNING/RECOVER_YOUR_DATA 等の定番名と不一致)

業界反応:BleepingComputer、Dark Reading 等は「初の完全 AI 駆動ランサム」と報じました。CSO Online はレッドチーム専門家 Vibhum Dubey のコメントを引用——暗号化前の「静かな期間」こそ懸念で、Agent が ID 体系を把握し検知を回避する間、侵入の見え方は毎回わずかに異なる可能性。複数メディアは LLMjacking に言及——窃取資格情報で Agent を駆動すれば多段攻撃の限界コストはほぼゼロに近づきます。

A

CVSS 9.8 + EPSS 91.42%:CVE-2025-3248 は長期スキャンされる高リスク入口(NVD / SentinelOne)。

B

600+ payload:短時間ウィンドウで一貫実行——規模と整合性が固定ツールキットではなく自律 Agent を示唆。

C

1,342 設定暗号化 + 鍵不可復元:身代金を払っても設定データは実質的に永久損失。

Sysdig の四点結論:① ランサムの閾値が「Agent を走らせるコスト」まで低下;② 旧 CVE が自動武器化され「歴史漏洞庫を総当たり」のコストがほぼゼロ;③ LLM 自己叙事が防御側に可読な検知面を提供;④ 「バックアップ済み」は Agent コードコメントの自叙で、未検証。

代替案を整理すると:インターネット上で Langflow/Nacos を公開した Agent 試作は API Key と内部ネットワークトポロジをスキャナに渡す行為に等しく;ローカルノート PC で 7×24 自律 Agentはアウトバウンド制御とランタイム検知が困難;仮想化 macOS で Agent オーケストレーションは EULA 違反で Metal 性能も制限されます。iOS CI/CD、完全 root、分離テスト環境、7×24 安定性が必要な AI Agent 本番とレッドチームシミュレーションには、KVMNODE 専用 Mac Mini M4 クラウドレンタルが通常はより良い選択です:100% 物理実機、sudo 開放、日/週/月の柔軟契約。Agent ワークフローを本番ネットワークから隔離した監査可能環境で稼働できます。JADEPUFFER はスキル閾値が Agent 実行コストまで下がった警告——防御側はインターネット公開アプリサーバー、未硬化構成センター、インターネット到達可能な DB 管理者アカウントを最優先の攻撃面と見なすべきです。

参考:Sysdig「JADEPUFFER: Agentic ransomware for automated database extortion」;BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs;Trend Micro CVE-2025-3248 / Flodrix 分析;NVD、CISA KEV カタログ。