2026 JADEPUFFER:
初のエージェント型LLMランサムウェア — Langflow 防御ガイド
Langflow、Nacos、または公開向けAI Agentオーケストレーション基盤を運用しているチーム向けに、Sysdig Threat Research Teamが2026年7月1日に公開した初のエンドツーエンドLLM駆動ランサムウェア JADEPUFFER(Agentic Threat Actor / ATA)の全容を整理します。入口はCVE-2025-3248、本番標的はMySQL + Nacos、600超の目的あるペイロード、31秒の自己修復バックドア、1,342件の設定暗号化までを、タイムライン・Flodrixとの対照・IOC表・Sysdig7項の防御と4つの結論・業界反応・FAQ・Mac隔離五手順とともに解説します。
目次
事実関係は2026年7月7日時点。一次情報:Sysdig TRT 報告(Michael Clark、2026年7月1日)。本記事は技術分析であり、法的助言やインシデント対応の代わりにはなりません。IOCは本文では defang 表記です。
01 · エグゼクティブサマリー
要点:2026年7月1日、Sysdig Threat Research TeamはJADEPUFFER—Agentic Threat Actor(ATA)による、Langflow 初期侵入から MySQL/Nacos 破壊までの初の文書化されたエンドツーエンド LLM 駆動ランサムウェア—の技術報告を公開しました。脅威研究ディレクター Michael Clark は、2026年6月に数週間にわたる複数セッションで600超の独立した目的あるペイロードが実行されたと記録しています。BleepingComputer、Dark Reading、CyberScoop、CSO Online が7月2〜6日に報じました。
| 指標 | 報告データ |
|---|---|
| 発見 | Sysdig TRT — Michael Clark、2026年7月1日公開 |
| 分類 | Agentic Threat Actor(ATA) — 攻撃能力がAI Agentにより提供 |
| 侵入経路 | CVE-2025-3248 — Langflow <1.3.0、CVSS 9.8、/api/v1/validate/code |
| 下流標的 | 公開 MySQL + Nacos 本番サーバー(Langflow ホストとは別) |
| ペイロード数 | 600超の独立した目的あるペイロード |
| 暗号化設定 | 1,342件の Nacos config_info を MySQL AES_ENCRYPT() で暗号化 |
| 自己修復バックドア | xadmin ログイン失敗から稼働まで 31秒 |
| C2 ビーコン | 45.131.66[.]106:4444 — crontab 30分間隔 |
| 復旧見通し | 暗号化キーは uuid4() 生成・一度だけ表示・未保存 — 身代金支払いは無意味の可能性大 |
02 · AI インフラチームの三大痛点
- Langflow は認証情報の蜜壺になりやすい。チームは Agent ワークフローを素早く試作し、OpenAI・Anthropic・DeepSeek・Gemini・クラウド鍵を環境変数に置きがちです。Sysdig は、API キーとクラウド認証情報が RCE 面の隣に並ぶホストが標的になりやすいと指摘しており、JADEPUFFER フェーズ1の並列スキャンがまさにそれを悪用しました。
- レガシー基盤と Agent 速度のミスマッチ。下流標的は CVE-2021-29441、2020年から文書化された Nacos デフォルト JWT 秘密鍵、インターネット公開の MySQL
rootに依存していました。ATA は数年分の放置を数時間で武器化でき、シグネチャベースのプレイブックが想定する「人間のペース」と一致しません。 - 静かな期間は見えにくい。CSO Online が引用した研究者 Vibhum Dubey は、危険なのは最終的な
DROP DATABASEではなく、暗号化前の適応的偵察だと警告しました。Agent がブロックのたびに戦術を組み替えると、各インシデントは微妙に異なり、「予測可能なキルチェーン」という前提が崩れます。
03 · タイムライン
| 日付 | 出来事 |
|---|---|
| 2025年4月 | CVE-2025-3248 公表 — Langflow 未認証コード注入 / RCE |
| 2025年5月5日 | CISA が CVE-2025-3248 を Known Exploited Vulnerabilities(KEV)カタログに追加 |
| 2025年(継続) | Trend Micro が同一 Langflow 欠陥経由の Flodrix ボットネットを追跡 — JADEPUFFER とは別キャンペーン |
| 2026年6月 | JADEPUFFER 攻撃が数週間にわたる複数セッションで実行(正確な日は非公開) |
| 2026年7月1日 | Sysdig が完全技術報告を公開 — 初の公表 |
| 2026年7月2〜6日 | BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs が報道 |
04 · JADEPUFFER と Agentic Threat Actor(ATA)
Sysdig はコードネーム JADEPUFFER(公式表記は全大文字)を、初の既知のエンドツーエンド・完全 LLM 駆動ランサムウェア作戦—偵察、認証情報窃取、横展開、永続化、破壊的暗号化、身代金メモ配信を、重要な判断点で人手なしに実行—として評価しています。
報告書は Agentic Threat Actor(ATA) という新分類を導入しました。脅威能力が固定ツールキットを操る人間ではなく AI Agent によって提供される、という定義です。二段構成は意図的です:公開 Langflow が足場、本番 MySQL + Nacos が恐喝標的。開発者が試作と本番を分離するのと同型ですが、ここでは試作が鍵のかかっていない玄関でした。
05 · CVE-2025-3248 深掘り
Langflow は GitHub スター 7万超のオープンソース視覚的 AI ワークフロービルダーです。1.3.0 未満は /api/v1/validate/code を公開し、ユーザー定義関数ノードの構文チェック用として ast.parse() → compile() → exec() を認証なし・サンドボックスなしで実行します。
Python はデコレータとデフォルト引数を関数定義時に評価します。攻撃者はデフォルト引数に悪意あるコードを埋め込み、「検証」の段階でペイロードが既に実行されます。CVSS は 9.8。SentinelOne の EPSS 悪用確率は 91.42% に達しました。
Langflow 1.3.0 は post_validate_code に _current_user: CurrentActiveUser を注入して修正。FastAPI が脆弱ロジック実行前に JWT Bearer または x-api-key を検証し、非アクティブユーザーは拒否されます。
06 · Flodrix vs JADEPUFFER — 同一 CVE、別キャンペーン
Trend Micro は同一 Langflow 欠陥経由で配信される Flodrix(LeetHozer 系ボットネット)を文書化しています。ペイロードはスクリプト型偵察で、Agentic ランサムではありません:
Flodrix は 700 バイトの Bash ダウンローダーで ELF を取得し DDoS 参加へ進みます。JADEPUFFER は PostgreSQL ダンプ、MinIO 認証情報窃取、Nacos 乗っ取り、データベース破壊まで到達。両者とも KEV 掲載後に CVE-2025-3248 が積極スキャンされていることを示し、ATA 級自律性を示したのは JADEPUFFER のみです。
07 · フェーズ1:Langflow ホスト侵害
フェーズ1のペイロードはすべて RCE エンドポイント経由の Base64 エンコード Python でした。
並列偵察と API キー収集
id、uname -a、hostname の後、Agent は並列で LLM ベンダ鍵(OpenAI、Anthropic、DeepSeek、Gemini)、中国クラウド接頭辞(ALIBABA_、ALIYUN_、TENCENT_、HUAWEI_)、AWS/GCP/Azure 認証情報、ウォレットシード、DB 設定ファイルをスキャンしました。
PostgreSQL ダンプと横展開探索
Langflow 自身の PostgreSQL バックエンドがエクスポートされ、認証情報・API キー・ユーザーレコードがローカルにステージング、確認後削除されフォレンジック痕跡を減らしました。内部アドレス空間と名前付きサービスがデフォルト認証情報で探索されました。
MinIO 適応列挙
minio.internal:9000 と 127.0.0.1:9000 にデフォルト minioadmin:minioadmin で接続し、terraform-state バケットなどを列挙、credentials.json を抽出。?format=json が XML を返した際、次のペイロードは即座に XML パースへ切り替え—盲目的リトライではなく probe-error-adapt です。
crontab による永続化
08 · フェーズ2:MySQL + Nacos 本番ランサム
本番サーバーはインターネット公開の MySQL と Alibaba Nacos を稼働。Agent は root 認証情報で接続しましたが、Sysdig はその出自を被害者からの窃取と結びつけられませんでした—少数の人手準備入力の可能性があります。
Nacos 乗っ取り:31秒の自己修復
| UTC 時刻 | アクション |
|---|---|
| 19:34:24 | xadmin を bcrypt ハッシュで DB 挿入 |
| 19:34:36 | xadmin:Xploit@2026# ログイン — 失敗 |
| 19:34:48 | nacos:nacos デフォルト並列テスト、admin123 ハッシュ再生成 |
| 19:35:07 | 直接 import bcrypt、壊れた行削除、正しいハッシュ再挿入 |
| 19:35:18 | ログイン 成功 — 初回失敗から計31秒 |
コンテナ脱出プローブ(約8分)
MySQL INTO OUTFILE と LOAD_FILE で /var/lib/mysql-files/ への書き込み・読み取り、/var/run/docker.sock、/proc/1/cgroup、/etc/hostname の読み取り、mysql.func の UDF 昇格経路を確認。ランサム前にクリーンアップマーカーを書き込み—Sysdig は静的エクスプロイトキットではなく構造化された Agent フェーズ完了と評価しています。
暗号化と README_RANSOM
暗号化キーは uuid4() で生成され一度だけ表示、保存・流出なし。1,342 件の config_info を AES_ENCRYPT で暗号化し config_info_enc へ、元テーブルと his_config_info を DROP、README_RANSOM テーブルにビットコインアドレスと Proton メールを配置。身代金メモは AES-256 と記載しますが、MySQL デフォルトは AES-128-ECB です。
スキーマ破壊と FOREIGN_KEY_CHECKS 修正
複数データベースが ROI 優先のコメント付きで DROP。データは「64.20.53[.]230」へバックアップ済みと自称しましたが、Sysdig は独立した流出証拠を見つけていません。外部キーで DROP DATABASE が失敗した際、次のペイロードで SET GLOBAL FOREIGN_KEY_CHECKS=0 を追加しました。
09 · 自律性の四つの証拠
- 自己叙述コメント。デコードされたペイロードに ROI 順序、最大 DB、各ステップの理由が自然言語で埋め込まれ—アナリスト注釈ではなく攻撃コード内の記述です。
- 機械速度のエラー修正。31秒の Nacos バックドア修復、MinIO XML/json ピボット、JWT カスタム秘密鍵の放棄、
FOREIGN_KEY_CHECKS修正はいずれも失敗原因に対応—単純リトライではありません。 - 自然言語コンテキスト理解。数週間離れたセッション間で自由テキストの環境コンテキストを解釈し、正規表現スキャンでは説明困難な行動を取りました。
- ビットコインアドレスの謎。選ばれたアドレスは LLM 学習コーパスに頻出する Bitcoin Core 文書例—幻覚か意図的選択かは不明です。
10 · ビットコインアドレスの謎
README_RANSOM に記載の 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core 文書の標準 P2SH 例です。オンチェーン:737 件の確定取引、歴史的受取約 46 BTC、現在残高ゼロ(即時スイープ)。Sysdig は LLM 幻覚かオペレータ意図のいずれも排除できず、ATA によるアトリビューションの新たな不確実性を示しています。
11 · IOC 表
| 種別 | 指標 |
|---|---|
| C2 / ビーコン | 45.131.66[.]106 — 30分間隔 crontab |
| 流出(未検証) | 64.20.53[.]230 — Agent コメント内のみ |
| 入口 CVE | CVE-2025-3248(Langflow <1.3.0) |
| ビットコイン | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 連絡先 | e78393397[@]proton[.]me |
| 永続化 | 外部 URL へ Python ビーコンする crontab |
12 · 比較マトリクス
| 次元 | 従来型ランサム | Flodrix | JADEPUFFER(ATA) |
|---|---|---|---|
| オペレータ | 人間 + RaaS | 自動スクリプト / ボットネット | LLM Agent |
| 入口 | フィッシング、RDP | CVE-2025-3248 | CVE-2025-3248 → MySQL/Nacos 横展開 |
| ペイロード | パッケージ化暗号化バイナリ | 固定偵察コマンド | 600超 適応 Python + コメント |
| エラー処理 | 事前検証プレイブック | 最小限 | 31秒 多段自己修復 |
| 経済性 | アフィリエイト | DDoS レンタル | LLMjacking — 窃取 API 鍵で限界費用ほぼゼロ |
13 · Sysdig 防御推奨(全7項)
- Langflow を 1.3.0 超へアップグレードし、コード検証エンドポイントを公開インターネットに晒さない。
- DB プロセスにランタイム脅威検知を導入し、一括
AES_ENCRYPTや身代金テーブル作成を検知。 - Agent 実行環境から API キーを除去—専用シークレットマネージャへ。
- Nacos を硬化:
token.secret.keyローテーション、認証バイパス系パッチ、公開露出禁止、rootDB 接続回避。 - DB 管理アカウントをインターネットに公開しない。
- エグレス制御で任意 C2 へのビーコンを遮断。
- 上記 IOC をハント—crontab の外部 URL 呼び出しを監視。
14 · 業界反応
BleepingComputer、Dark Reading、CyberScoop、Security Affairs は JADEPUFFER を初の完全 AI 駆動ランサムとして ATA 時代の到来と位置づけました。CSO Online は Vibhum Dubey にインタビューし、これは新手法ではなく実行の進化だと指摘。重要なのは暗号化前の静かな期間に Agent がアイデンティティと信頼関係をマッピングする点だと述べています。LLMjacking—窃取クラウド・モデル認証情報で Agent を駆動—により多段攻撃の限界費用がほぼゼロに近づく点も、暗号化そのものと同様に警戒すべきシグナルです。
15 · Sysdig 四つの結論
- スキルバーが崩壊。LLM Agent が深い専門知なしに偵察から破壊まで連鎖できる。
- 古いバグの自動スプレー。2021年 Nacos 欠陥とデフォルト秘密鍵への依存。ATA は歴史 CVE コーパス全体をほぼ無料でスプレー可能。
- 意図が読み取れる。自己叙述コメントは従来マルウェアにない新しい検知ハンドル。
- 「バックアップ済み」は未検証の物語。64.20.53[.]230 の主張は Agent コメント内のみ。暗号化キーは一時的—支払いでは復旧不能。
16 · 防御ステップ(7項)
- Langflow・Flowise・Agent オーケストレーションの全エンドポイントを棚卸し。1.3.0 未満は緊急パッチ対象。
- AI 試作と本番データプレーンを分離。Langflow ホストから本番 MySQL/Nacos へ直接ルーティングしない。
- LLM・クラウド鍵をローテーションし Vault 化。公開ホストの環境変数に置いた鍵は焼却済みとみなす。
- Nacos 硬化チェックリスト:カスタム JWT 秘密、最新パッチ、プライベートネットワークのみ、最小権限 DB ユーザー。
- DB 監査ログで
AES_ENCRYPT大量操作とREADME_RANSOM様テーブルを検知。 - オーケストレーションサブネットからのエグレスをブロック。
- IOC ハントで
45.131.66[.]106ビーコンと crontab Python ワンライナーを監視。
17 · FAQ(8問)
JADEPUFFER とは?
Sysdig が付けた、初の文書化エンドツーエンド LLM 駆動ランサムウェアのコードネーム(2026年7月1日公開、Michael Clark ほか)。
ATA とは?
AI Agent が攻撃能力を提供する脅威の新分類。人間が固定ツールを操作する従来モデルと対比されます。
Flodrix と同じ?
いいえ。同一 CVE を悪用しますが Flodrix はボットネット、JADEPUFFER は ATA ランサムチェーンです。
身代金で復号できる?
ほぼ不可能。キーは uuid4 生成・一度表示・未保存。
ビットコインアドレスが奇妙な理由は?
Bitcoin Core 標準 P2SH 例で LLM 学習データに頻出。737 取引・約 46 BTC 受取履歴。
関連 CVE は?
CVE-2025-3248(入口)、CVE-2021-29441 と Nacos デフォルト JWT(下流)。
専門家は検知について何と言った?
Vibhum Dubey(CSO Online):静かな期間と適応戦術が予測可能パス検知を破る。LLMjacking で攻撃コストほぼゼロ。
Mac で安全に試すには?
隔離レンタル Mac、1.3.0+、localhost のみ、本番シークレット禁止。
18 · Mac 隔離五手順プレイブック
- Agent スタックを棚卸し。Langflow、OpenClaw、Ollama、カスタム Agent の公開 IP と保存認証情報を記録。
- クリーンな Apple Silicon Mac を調達。ベアメタルノードと SSH—日次 Mac レンタル FAQ を参照。
- Langflow ≥1.3.0 を隔離インストール。
/api/v1/validate/codeの JWT/x-api-keyをポート公開前に検証。 - レッドチーム検証。エグレスブロック、Vault サイドカー、Nacos/MySQL ネットワークポリシーを本番 VPC 非接触でテスト。
- 昇格か破棄かを文書化。パッチ証明・秘密鍵ローテーション・エグレスルール合格後のみ共有インフラへ—M シリーズ算力料金で延長隔離も可能。
19 · Langflow / Agent 隔離のための Mac レンタル
JADEPUFFER は、急ぎで公開した Langflow が「開発用サンドボックス」ではなく、本番 MySQL・Nacos への ATA 横展開の足場になり得ることを示しました。日常使い Mac やフラットネットワークの Linux VPS で同スタックを動かすと、API 鍵・PostgreSQL ダンプ・crontab ビーコンが主力認証情報と同じ運命を辿ります。
Linux ホストで Langflow を試すことはデモには足りますが、macOS 固有の Agent 連携(OpenClaw、Keychain、Xcode 隣接ツール)を検証できず、オーケストレーションを本番 DB と同一サブネットに置きがちという誘惑も残ります。Windows VM は Apple Silicon ネイティブ経路を欠き、共有 GPU クラウドはエグレス制御が難しいフラットプレーンになりがちです。
安定ビルド、クリーンな秘密隔離、昇格前の burn-after-reading 検証を重視するなら、Mac mini M4 の日次レンタルが長期的に低リスクです。料金は M シリーズ算力料金、接続は 日次レンタル FAQ をご覧ください。
20 · 出典・参考文献
- Sysdig TRT — JADEPUFFER: Agentic ransomware for automated database extortion(Michael Clark、2026年7月1日)
- BleepingComputer — JadePuffer ransomware used AI agent to automate entire attack
- Dark Reading — JadePuffer: The First Complete LLM-Driven Ransomware Attack
- CyberScoop — Sysdig clocks first documented case of agentic ransomware
- CSO Online — Vibhum Dubey インタビュー(静かな期間・適応 Agent 戦術)
- Security Affairs — JADEPUFFER: First End-to-End AI-Driven Ransomware Operation
- Trend Micro — CVE-2025-3248 Flodrix ボットネット分析
- NVD / SentinelOne / Zscaler ThreatLabz — CVE-2025-3248 技術詳細;EPSS 91.42%
- CISA KEV — CVE-2025-3248(2025年5月5日掲載)
最終更新:2026年7月7日。Langflow 公式声明または Sysdig の追加 IOC が出た場合は追記します。