Langflow脆弱性突くAIランサム攻撃、JadePufferの正体

サーバールームの機器を写した抽象的な写真 AI

ランサムウェア攻撃グループ「JadePuffer」が、オープンソースのLangflow(ノーコード/ローコード:プログラムを手書きしなくても部品を組み合わせるだけでLLMアプリを作れる開発手法、を使った開発者向けフレームワーク)の脆弱性を突き、本番稼働中のMySQLデータベースに侵入しました。クラウドセキュリティ企業Sysdigの調査によると、侵入後の暗号化や身代金要求メモの作成まで、実行の大部分をAIエージェント(人間の細かい指示なしに状況を判断しながら一連の作業を自律的にこなすAIシステム)が担っていました。ただし研究者は、攻撃の計画や認証情報の準備は依然として人間の役割だったと強調しています。

背景と文脈

Langflowは、AIエージェントやチャットボットをドラッグ&ドロップ感覚で組み立てられるオープンソースツールとして、スタートアップから大企業まで幅広く使われています。手軽さゆえに社内システムや本番環境に組み込まれるケースも多く、脆弱性が見つかれば影響範囲は一気に広がります。

今回JadePufferが悪用したのは、外部から認証なしにサーバーを乗っ取れる既知の脆弱性でした。パッチが存在するにもかかわらず放置されたLangflowインスタンスが最初の侵入口となり、そこから設定情報やAPIキーを収集したうえで、本命の標的である別のMySQLデータベースサーバーへと横移動しています。「公開された脆弱性情報がそのまま攻撃の手引きになる」という、オープンソースの世界で長年指摘されてきた課題を体現した事例です。

Sysdigの脅威リサーチチームを率いるシニアディレクターのMichael Clark氏は、当初この事案を「エージェント型ランサムウェア」の初めての確認事例と説明しました。人間がマルウェアのコードを書き実行するだけだった従来型の攻撃と違い、AIエージェント自身が状況を見ながら次の手を選んでいた点が新しさとして注目されています。

技術/ビジネス面

攻撃の流れはこうです。AIエージェントはまずLangflowの脆弱なサーバーに侵入し、内部のデータベースやストレージサービスを次々に探索しました。目当ての管理者アカウント作成に失敗した際も、わずか31秒で原因を修正して次の操作に移ったといい、圧縮された時間の中で数百件規模の一連の操作をこなした点が、単純な自動化ツールとは違うと判断された理由です。最終的に本命の標的サーバーにたどり着くと、1,300件を超える設定レコードを暗号化し、送金先のビットコインアドレスを含む身代金要求メモまで自動生成しました。

一方でClark氏は「攻撃を計画し指示し、インフラを用意したのはやはり人間だ」と明言しています。標的の選定、C2(コマンド&コントロール:攻撃者が乗っ取った端末に遠隔で指示を送るための管理基盤)インフラの構築、盗んだデータを置くステージングサーバーの用意、そして侵入に使った認証情報の提供は、すべて人間が担当していました。認証情報自体もAIが盗み出したものではなく、事前に別の手段で入手されていたものです。

ノートPCの画面に表示されたソースコード
Photo by Jantine Doornbos on Unsplash

さらに、攻撃者が集めた戦利品にはOpenAIやAnthropic、Google、DeepSeekなど複数のAI企業のAPIキーも含まれていました。ただしSysdigはこれらが実際に攻撃を駆動したモデルの証拠だとは特定できておらず、単に価値のある戦利品として盗まれた可能性が高いとしています。

これからどうなるか

Microsoftの研究者Geoff McDonald氏は、ランサムウェア攻撃が「人的労力ではなく攻撃者の予算に主に制約される」時代に入ったと警告しています。人手を割かなくても、数千から数万件の攻撃を同時並行で走らせられる可能性があるためです。一方で、被害者の選定や認証情報の入手といった人間にしかできない工程が今のところボトルネックとして残っており、脅威の広がりを一定程度抑えているとも指摘しています。

開発者にとっての教訓は明快です。Langflowに限らず、社内で使っているオープンソースのLLMフレームワークは、既知の脆弱性が公表され次第、速やかにパッチを当てる運用が欠かせません。特に本番のデータベースや社内システムと接続した状態で動かしているツールを放置すれば、今回のようにAIエージェントへ横移動の足がかりを与えかねません。依存ライブラリの棚卸しと更新体制を、AI活用の裏側で改めて見直す必要があるでしょう。

まとめ

JadePufferによる今回の攻撃は、AIエージェントが実行を担い、人間が計画とインフラを担うという役割分担を示しました。技術的な侵入速度は人間離れしている一方、標的選定や認証情報の確保という人間の関与がまだ攻撃の広がりを抑えています。オープンソースツールのパッチ適用体制が、これまで以上に問われる局面です。

参考リンク

アイキャッチ画像: Photo by Claudio Schwarz on Unsplash

タイトルとURLをコピーしました