JADEPUFFER とは?初の Agentic Threat Actor ランサム事件の概要
結論から:Sysdig は JADEPUFFER を Agentic Threat Actor(ATA、エージェント型脅威アクター)と定義しました。攻撃能力は AI Agent によって提供され、従来の「人間が操作するツールキット」とは質が異なります。レポートで正式に提示された新分類です。
| 観点 | 内容 |
|---|---|
| 発見元 | Sysdig TRT、報告著者 Michael Clark(Director of Threat Research) |
| 公開日 | 2026 年 7 月 1 日(メディアは 7 月 2–6 日に追随、一般認知の節目は 7 月 6 日が多い) |
| 攻撃者コードネーム | JADEPUFFER(Sysdig 公式の全大文字表記) |
| 入口ホスト | インターネット公開の Langflow インスタンス(CVE-2025-3248 RCE) |
| 真の標的 | 別ホスト上の MySQL + Nacos 構成センターを稼働する本番サーバー(こちらもインターネット公開) |
| 規模 | 600 超の独立かつ目的明確な payload を短時間ウィンドウで実行完了 |
タイムライン:
| 時期 | 出来事 |
|---|---|
| 2025 年 4 月 | Langflow に CVE-2025-3248(未認証コード注入/RCE)が公開 |
| 2025 年 5 月 5 日 | CISA が Known Exploited Vulnerabilities(KEV)カタログに追加 |
| 2025 年 | 同 CVE で Flodrix ボットネット配布(Trend Micro が独立報告、JADEPUFFER とは無関係) |
| 2026 年 6 月 | JADEPUFFER がインターネット Langflow を攻撃、チェーンは数週間に複数セッションで実行 |
| 2026 年 7 月 1 日 | Sysdig が完全技術レポートを公開 |
| 2026 年 7 月 2–6 日 | Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs が追随 |
Langflow のインターネット公開:AI Agent オーケストレーションサーバーの環境変数には LLM API Key やクラウド資格情報が載りがちで、急ぎの本番投入とネットワーク ACL 不足が重なります。
高リスク CVE の長期スキャン:CVE-2025-3248 の EPSS 悪用確率は 91.42%(SentinelOne)。インターネットスキャンによる武器化が継続中です。
下流インフラの老朽化:真の標的は 2021 年 Nacos 認証バイパス(CVE-2021-29441)と、2020 年から文書公開されているデフォルト JWT 署名鍵を未変更のまま使用。
MySQL root のインターネット公開:Agent が root 資格情報で露出ポートへ直接接続。資格情報の入手経路は不明で、人間による事前準備の可能性も残ります。
暗号鍵は復元不能:uuid4() ランダム生成、stdout 一度きり、外部送信なし——身代金支払い後も復号は不可能です。
CVE-2025-3248 のメカニズム:Langflow 未認証 RCE の武器化
| 項目 | 詳細 |
|---|---|
| コンポーネント | Langflow — オープンソースの可視化 AI Agent ワークフローフレームワーク(GitHub スター 7 万超) |
| 脆弱性種別 | CWE-94(コード注入)+ CWE-306(重要機能の認証欠如) |
| CVSS | 9.8 Critical、ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響バージョン | Langflow 1.3.0 未満の全バージョン |
| 脆弱箇所 | /api/v1/validate/code エンドポイント |
| 修正版 | 1.3.0(認証チェック追加) |
成因の段階分解:この API はユーザー定義関数ノードの構文検証用で、実装は ast.parse() → compile() → exec()。認証もサンドボックスもありません。Python では関数定義時にデコレータとデフォルト引数が定義瞬間に即評価されます。攻撃者は悪意コードをデフォルト引数に埋め込み、Langflow が「合法性チェック」を行う段階でサーバー上で既に実行——ログイン不要、HTTP POST 一発で RCEです。
exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))')
exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))')Trend Micro は Flodrix ボットネット追跡で上記の典型 payload を記録しています(別波の独立悪用)。最終段階では 700 バイトの Bash スクリプトが Flodrix ELF バイナリを取得し、TCP/UDP 二系統 DDoS ボットネットを形成します。
| 観点 | Flodrix ボットネット | JADEPUFFER(本事件) |
|---|---|---|
| 駆動方式 | 従来型の手動/スクリプト配布 | LLM Agent によるエンドツーエンド自律駆動 |
| 入口 CVE | CVE-2025-3248 | CVE-2025-3248 |
| 最終目的 | DDoS ボットネット | データベースランサムと破壊的暗号化 |
| 関連性 | 二つの独立キャンペーン。同一 CVE がインターネットで長期武器化されていることを示す | |
パッチ分析:Langflow 1.3.0 は post_validate_code に _current_user: CurrentActiveUser 依存注入を追加。FastAPI が JWT Bearer または x-api-key を先に検証し、失敗時 401/403 で脆弱ロジックへ到達しません。
Langflow は「魅力的な入口」になり得ます。AI Agent サーバーの環境変数には OpenAI、Anthropic、DeepSeek、Gemini や ALIBABA_/AWS/GCP 等のクラウド資格情報が頻繁に格納されます。
攻撃チェーン全容:Phase 1 Langflow 侵攻と Phase 2 Nacos 奪取
Phase 1 — Langflow ホスト掌握:全 payload は Base64 エンコード Python を RCE エンドポイント経由で投入。
偵察と認証情報収集(マルチスレッド並列):id、uname -a、hostname を実行し、OpenAI/Anthropic/DeepSeek/Gemini API Key、ALIBABA_/ALIYUN_/TENCENT_/HUAWEI_/AWS/GCP/Azure クラウド資格情報、暗号資産ニーモニック、DB 設定を並列スキャン。
ローカルデータ窃取:Langflow PostgreSQL バックエンドから資格情報と API Key をエクスポート。ローカルで精査後、痕跡を削除。
MinIO 列挙:minio.internal:9000 と 127.0.0.1:9000 を探索。デフォルト minioadmin:minioadmin で Bucket 列挙し、terraform-state 桶と credentials.json を優先抽出。初回 ?format=json で XML が返ると即座に XML パーサーへ切替再試行——典型的な probe-error-adapt ループです。
持続化:crontab で 30 分ごとに hxxp://45.131.66[.]106:4444/beacon へビーコン送信を設定。
Phase 2 — MySQL + Nacos 本番サーバー突破:Nacos はアリババ系マイクロサービスで広く使われます。CVE-2021-29441 の認証バイパス履歴があり、デフォルト JWT 署名鍵は 2020 年から文書公開——多くのデプロイで未変更のままです。
Nacos バックドア管理者注入——31 秒の自律修復ループ(UTC タイムスタンプ):
| 時刻(UTC) | 動作 |
|---|---|
| 19:34:24 | subprocess.run で bcrypt ハッシュ生成、xadmin 管理者を INSERT |
| 19:34:36 | xadmin:Xploit@2026# でログイン失敗 |
| 19:34:48 | 12 秒後に nacos:nacos デフォルト資格情報を並列テストし admin123 ハッシュを再生成 |
| 19:35:07 | subprocess.run をやめ import bcrypt に切替、破損レコード削除後に再構築 |
| 19:35:18 | ログイン成功——合計 31 秒 |
cur.execute('DELETE FROM users WHERE username="xadmin"')
hash_val = bcrypt.hashpw(b'admin123', bcrypt.gensalt(rounds=10)).decode()
cur.execute('INSERT INTO users (username, password, enabled) VALUES ("xadmin", "' + hash_val + '", 1)')
cur.execute('INSERT INTO roles (username, role) VALUES ("xadmin", "ROLE_ADMIN")')コンテナ脱出プローブ(約 8 分):MySQL INTO OUTFILE / LOAD_FILE で書込・読戻し、/var/run/docker.sock、/proc/1/cgroup、/etc/hostname を確認。mysql.func UDF による権限昇格も検査。ランサム前に _pwn_cleanup.txt 完了マーカーを書込——Sysdig は固定スクリプトより構造化 Agent の「次フェーズ合図」と分析しています。
破壊的暗号化:全 1,342 件の Nacos 設定を AES_ENCRYPT() で暗号化し、config_info と his_config_info を削除。ランサム表 README_RANSOM を作成。鍵は uuid4() ランダム生成で一度だけ stdout 出力、保存なし——支払い後も復元不可。身代金文書は AES-256 と記載するが、MySQL デフォルトは実質 AES-128-ECB です。
大規模破壊:ROI 優先で DROP DATABASE。コードコメントに「64.20.53[.]230 へバックアップ済み」と自叙——Sysdig は独立証拠でデータ回収を確認していません。外部キー制約で削除失敗時、次 payload が SET GLOBAL FOREIGN_KEY_CHECKS=0 を自動付加——失敗理由を理解した上での修正です。
JADEPUFFER 後の防御:六ステップ実践ガイド
Sysdig 公式防御勧告と事件 IOC に基づき、チームは直ちに以下を実行できます:
Langflow を更新:CVE-2025-3248 修正版 1.3.0+ へ即時アップグレード。コード実行/検証系エンドポイントをインターネットに出さないこと。
鍵と資格情報の分離:AI オーケストレーションサーバーの環境変数に LLM API Key やクラウド資格情報を置かず、KMS に委譲しインターネットプロセスから隔離。
Nacos 硬化:デフォルト token.secret.key を変更し、カスタム鍵必須版へ更新。Nacos をインターネットに出さない、バックエンド DB への root 接続を禁止。
データベースアクセス制御:管理者アカウントをインターネットに露出させず、管理ポートは強固な一意資格情報と送信元 IP 制限を適用。
アウトバウンドトラフィック制御:侵害ホストからの任意ビーコン外部通信や外部ステージングサーバー(45.131.66[.]106、64.20.53[.]230 等)へのアクセスを制限。
ランタイム検知と IOC 監視:DB プロセスの異常行動、crontab 外部通信、異常 User-Agent を監視。Agent 開発/テスト環境の分離は ヘルプセンターをご参照ください。
検知のチャンス:LLM payload には「なぜそうするか」を説明する自然言語コメントが大量に含まれます。この「自己叙事」は従来の防御側にはなかった検知フックです。
四つの自律性エビデンス、ビットコイン謎、IOC と Sysdig 結論
Sysdig が「LLM 駆動」を裏付ける四つの独立エビデンス:
自己叙事コード:payload 内の自然言語コメントが ROI 順序や最大 DB の選定理由を説明——LLM コード生成の典型で、研究者の事後推測ではありません。
機械速度の障害診断:Nacos 31 秒修復、MinIO の XML/JSON 適応、JWT 経路で阻害されれば即放棄——誤り後の修正速度と方式が最も精密な証拠です。
自然言語コンテキスト理解:標的環境の自由テキストを解釈し「読めて初めて取れる」行動を数週間・複数セッションで反復。
ビットコインアドレスの謎:身代金アドレス 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core 文書の標準 P2SH サンプルアドレスで LLM 学習語料に大量存在。チェーン上 737 取引、約 46 BTC 流入後即転送。LLM「幻覚」の可能性も、攻撃者の意図的配置も——どちらも排除できません。
| IOC 種別 | 指標 |
|---|---|
| C2 / ビーコン | 45.131.66[.]106、crontab → hxxp://45.131.66[.]106:4444/beacon |
| データステージング | 64.20.53[.]230(InterServer、AS19318) |
| 入口 CVE | CVE-2025-3248 |
| ランサム BTC | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 連絡メール | e78393397[@]proton[.]me(脅威インテリジェンス DB に前例なし) |
| ランサム表名 | README_RANSOM(WARNING/RECOVER_YOUR_DATA 等の定番名と不一致) |
業界反応:BleepingComputer、Dark Reading 等は「初の完全 AI 駆動ランサム」と報じました。CSO Online はレッドチーム専門家 Vibhum Dubey のコメントを引用——暗号化前の「静かな期間」こそ懸念で、Agent が ID 体系を把握し検知を回避する間、侵入の見え方は毎回わずかに異なる可能性。複数メディアは LLMjacking に言及——窃取資格情報で Agent を駆動すれば多段攻撃の限界コストはほぼゼロに近づきます。
CVSS 9.8 + EPSS 91.42%:CVE-2025-3248 は長期スキャンされる高リスク入口(NVD / SentinelOne)。
600+ payload:短時間ウィンドウで一貫実行——規模と整合性が固定ツールキットではなく自律 Agent を示唆。
1,342 設定暗号化 + 鍵不可復元:身代金を払っても設定データは実質的に永久損失。
Sysdig の四点結論:① ランサムの閾値が「Agent を走らせるコスト」まで低下;② 旧 CVE が自動武器化され「歴史漏洞庫を総当たり」のコストがほぼゼロ;③ LLM 自己叙事が防御側に可読な検知面を提供;④ 「バックアップ済み」は Agent コードコメントの自叙で、未検証。
代替案を整理すると:インターネット上で Langflow/Nacos を公開した Agent 試作は API Key と内部ネットワークトポロジをスキャナに渡す行為に等しく;ローカルノート PC で 7×24 自律 Agentはアウトバウンド制御とランタイム検知が困難;仮想化 macOS で Agent オーケストレーションは EULA 違反で Metal 性能も制限されます。iOS CI/CD、完全 root、分離テスト環境、7×24 安定性が必要な AI Agent 本番とレッドチームシミュレーションには、KVMNODE 専用 Mac Mini M4 クラウドレンタルが通常はより良い選択です:100% 物理実機、sudo 開放、日/週/月の柔軟契約。Agent ワークフローを本番ネットワークから隔離した監査可能環境で稼働できます。JADEPUFFER はスキル閾値が Agent 実行コストまで下がった警告——防御側はインターネット公開アプリサーバー、未硬化構成センター、インターネット到達可能な DB 管理者アカウントを最優先の攻撃面と見なすべきです。
参考:Sysdig「JADEPUFFER: Agentic ransomware for automated database extortion」;BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs;Trend Micro CVE-2025-3248 / Flodrix 分析;NVD、CISA KEV カタログ。