「初の AI 実行型ランサムウェア攻撃」にも人間が関与していたことが判明
Sysdig が報告した初の「AI 実行型ランサムウェア」攻撃において、技術的実行は AI エージェントが担ったものの、標的選定やインフラ構築など戦略的指揮は人間が行っていたことが判明し、実態の全貌が明らかになった。
キーポイント
AI エージェントの実行能力と限界
攻撃の技術的実行(侵入、暗号化、身代金要求文の作成)は AI が自律的に行ったが、標的選定やインフラ構築、初期認証情報の入手は人間が行っていた。
攻撃手法の詳細と脆弱性
Langflow の既知のバグから侵入し、MySQL サーバーの脆弱性を悪用して管理者権限を取得。31 秒でログイン失敗を克服するなどの高い適応力を見せた。
使用されたモデルと認証情報の誤解
攻撃に複数の AI モデルが関与したという憶測に対し、Sysdig は OpenAI や Anthropic 等の API キーは「盗まれた loot(略奪品)」であり、攻撃を駆動するエンジンではなかったと明確化。
自然言語による自己解説
AI エージェントは攻撃プロセス中に自然言語のコードコメントで自身の推論過程をナレーションし、その透明性と速度が特徴的だった。
攻撃の自動化とスケーラビリティ
Microsoft の研究者は、ランサムウェアキャンペーンが人間の努力ではなく予算によって制約されるようになり、同時に数千から数万のキャンペーンが可能になる可能性を指摘している。
使用されたモデルの不透明さ
Sysdig は攻撃に使用された特定の AI モデルやシステムプロンプトを特定できておらず、安全対策が解除されたオープンソースモデルであるという仮説も検証されていない。
重要な引用
"A human still set up and pointed the operation... chose a victim," Clark said.
"The agent swept the Langflow host for anything valuable... and those provider keys were part of the loot."
The agent fixed a failed login in 31 seconds, narrating its own reasoning in natural-language code comments.
"ransomware campaigns are now bounded primarily by attacker budget rather than human effort, raising the possibility of 'thousands or tens of thousands of simultaneous campaigns.'"
"Sysdig was not able to identify the specific model driving the agent and has no visibility into its system prompt or configuration."
影響分析・編集コメントを表示
影響分析
この事例は、AI が単なる支援ツールから攻撃の実行主体へと進化しつつある現実を示しており、セキュリティ業界における「人間不在の攻撃」という概念に対する誤解を解く重要な転換点となった。今後は、標的選定やインフラ構築といった戦略段階でも AI が関与する可能性を視野に入れ、AI エージェントによる自律的な侵入・移動を検知・防御する新たなセキュリティアーキテクチャの必要性が急務となる。
編集コメント
「AI が完全に自律して攻撃を行った」というセンセーショナルな報道に対し、実態は人間と AI のハイブリッド型であったことが判明しました。これはセキュリティ対策において、技術的実行の自動化だけでなく、戦略的意図を持つ人間の関与をどう監視・検知するかが依然として重要であることを示唆しています。
先週、クラウドセキュリティ企業の Sysdig の研究者たちは、「エージェント型ランサムウェア」として知られる最初の事例を文書化したと発表しました。これは「JadePuffer」と名付けられた恐喝作戦で、AI エージェントが人間ではなく、現実世界のサイバー攻撃の技術的実行を最初から最後まで担当したものです。このエージェントは脆弱なサーバーに侵入し、認証情報を盗み出し、標的のネットワーク内を移動し、ファイルを暗号化し、さらにランサムノート自体も作成しました。また、人間のハッカーのように障害物に対応しながら進みました。資金調達の報道では、「人間の監督なしで」「キーボードの前に人間がいない状態で」実行されたと記述されていました。
しかし、それは完全な状況ではありません。月曜日に CyberScoop と行ったインタビュー interview において、Sysdig の脅威研究シニアディレクターである Michael Clark は、人間が技術的実行には関与していなくても、依然として非常に深く関わっていたと明確にしました。「人間は作戦のセットアップと方向付けを行い、背後にあるインフラストラクチャ(基盤)を準備し、コマンド&コントロールサーバーを構築し、盗まれたデータ用のステージングサーバーを用意し、被害者を選択したのです」と Clark は述べています。さらに、被害者のデータベースに侵入するために使用された認証情報は、AI エージェント自体によって収集されたものではなく、別の場所で事前に侵害されたものを誰かが取得し、作戦に引き渡したものだと付け加えました。
これらはいずれも Sysdig の当初の主張と矛盾するものではなく、攻撃の技術的詳細はそれ自体として注目すべき点であり、むしろ驚くべきものです。エージェントは、LLM アプリケーション構築のための人気のあるオープンソースツールである Langflow における既知のバグを介して侵入し、その後本番環境の MySQL サーバーへ移動し、別の既知の欠陥を利用して管理者権限を取得しました。そして、1,300 件以上の設定レコードを暗号化しただけでなく、自ら作成した身代金要求文を残すだけでなく、身代金を送るための Bitcoin アドレスも残していました。Sysdig は誰が標的となったかは開示していません。
攻撃手法自体は比較的平凡なものでしたが、際立っていたのはその速度と透明性でした。エージェントは失敗したログインを 31 秒で修復し、その間中、自然言語のコードコメントを用いて自身の推論過程を説明していました。
当初は状況を混乱させるように思われたある詳細については、その後明確にされました。クラーク氏は CyberScoop に対し、「攻撃には複数のモデルが使用されていた」と Sysdig が発見したと伝え、OpenAI、Anthropic、DeepSeek、Gemini の取得されたキーを引用しました。この表現からは、複数のモデルが侵入の異なる段階を実際に駆動していたのかという疑問が残っていました。明確化を求める質問に対して、クラーク氏は TechCrunch に対し、それらのキーはエージェントが盗んだものの一部に過ぎず、それを駆動した証拠ではないと回答しました。
「エージェントは Langflow ホスト上で、価値あるものを何でも探し回りました。プロバイダーの API キー、クラウド認証情報、暗号化ウォレット、データベース設定などです。そして、これらのプロバイダーキーも略奪品の一部でした」と彼はメールで語った。「これらは攻撃者が何を持ち去るべきだと判断したかを示すものですが、どのモデルが意思決定を行っていたかを教えてくれるものではありません。」
JadePuffer を実際に実行しているモデルについて、Clark は Sysdig が「エージェントを駆動する特定のモデルを特定することはできなかった」と述べ、そのシステムプロンプトや設定に関する可視性も持っていないと付け加えた。
数日前に LinkedIn で提案された Microsoft の研究者 Geoff McDonald の理論は、この文脈で再検討する価値がある。McDonald は、自身のレッドチーム演習の経験から、フロンティア研究所の安全層がよく機能していることを踏まえ、今回の攻撃の背後には、安全性トレーニングが削除されたオープンウェイトモデルがあり、最先端モデルではないと推測していた。Sysdig 自身の報告書も、これを肯定するものでも否定するものでもない。
McDonald の投稿はまた、ランサムウェアキャンペーンは今や人的努力ではなく、主に攻撃者の予算によって制約されるようになり、「数千件あるいは数万件の同時キャンペーン」が発生する可能性があると警告した。この懸念は、Clark が月曜日に述べた内容と少し整合性が取りにくい。(もし人間が各被害者を選ぶインフラを準備し、各操作ごとにデータベース認証情報を取得しなければならないのであれば、少なくともそこにはボトルネックが生じるだろう。)
いずれにせよ、Clark は CyberScoop に語ったところによると、Sysdig はまだ同様の攻撃が他の被害者にも及んでいるのを確認していないものの、エージェントの運用コストが非常に安価であるため、状況は変化するだろうと予想している。
*当記事内のリンクを通じて購入された場合、私たちは少額のコミッションを受け取る可能性があります。これは当社の編集の独立性には影響しません。
Loizos は 1990 年代後半からシリコンバレーに関する報道を行っており、その当時彼女はオリジナルの『Red Herring』誌に参加しました。以前は TechCrunch のシリコンバレー編集長を務めていましたが、2023 年 9 月に編集長兼総務局長に就任しました。また、2023 年 8 月に Yahoo に買収され、現在は TechCrunch のサブブランドとして運営されている日刊電子ニュースレターおよび講義シリーズ『StrictlyVC』の創設者でもあります。
Connie への連絡や、彼女からの outreach(接触)の検証は、connie@strictlyvc.com または connie@techcrunch.com へメールを送るか、Signal の ConnieLoizos.53 経由で暗号化メッセージを送信することで可能です。
原文を表示
Last week, researchers at cloud security firm Sysdig said they’d documented the first known case of “agentic ransomware.” It was an extortion operation, dubbed JadePuffer, in which an AI agent — not a human — handled the technical execution of a real-world cyberattack from start to finish. The agent broke into a vulnerable server, stole credentials, moved through the target’s network, encrypted files, and even wrote its own ransom note, adapting to obstacles along the way like a human hacker would. Coverage of the funding described it as run “without any human oversight,” with “no human at the keyboard.”
That’s not quite the *full* picture. In an interview on Monday with CyberScoop, Sysdig’s Michael Clark, the company’s senior director of threat research, clarified that a human was still very much involved — just not in the technical execution. “A human still set up and pointed the operation and provisioned the infrastructure behind it, the command-and-control server, the staging server used for the stolen data and chose a victim,” Clark said. The credentials used to break into the victim’s database, he added, weren’t harvested by the AI agent itself; someone obtained them separately, through a prior compromise, and handed them to the operation.
None of this contradicts Sysdig’s original claim, and the technical details of the attack remain notable on their own — wild, even. The agent got in through a known bug in Langflow, a popular open-source tool for building LLM apps, then moved on to a production MySQL server and exploited another known flaw to gain admin access. It encrypted over 1,300 configuration records and not only left behind a ransom note that it wrote itself but it left a Bitcoin address where the ransom could be sent. Sysdig hasn’t disclosed who was targeted.
The techniques were fairly ordinary apparently, what stood out was the speed and transparency involved. The agent fixed a failed login in 31 seconds, narrating its own reasoning in natural-language code comments the whole way.
One detail that initially seemed to muddy the picture has since been clarified. Clark had told CyberScoop that Sysdig found “multiple models were used in the attack,” citing harvested keys for OpenAI, Anthropic, DeepSeek, and Gemini — language that left open the question of whether several models actively powered different stages of the intrusion. Asked to clarify, Clark told TechCrunch that those keys were simply part of what the agent stole, not evidence of what was driving it.
“The agent swept the Langflow host for anything valuable — provider API keys, cloud credentials, cryptocurrency wallets, and database configs — and those provider keys were part of the loot,” he said via email. “They are indicative of what the attacker considered worth taking, but they do not tell us which model was making the decisions.”
On the model actually running JadePuffer, Clark said Sysdig “was not able to identify the specific model driving the agent” and has no visibility into its system prompt or configuration.
Microsoft researcher Geoff McDonald’s theory, offered on LinkedIn several days ago, is worth revisiting in that light. McDonald suspected an open-weight model with safety training stripped out, rather than a frontier model, was behind the attack, based on his own red-teaming experience showing frontier labs’ safety layers hold up well. Sysdig’s own account doesn’t confirm or rule that out.
McDonald’s post also warned that ransomware campaigns are now bounded primarily by attacker budget rather than human effort, raising the possibility of “thousands or tens of thousands of simultaneous campaigns.” That concern is a little harder to square with what Clark described Monday. (If a human still has to choose each victim, provision infrastructure, and obtain database credentials for every operation, that’s a bit of a bottleneck, at least.)
Either way, Clark told CyberScoop, while Sysdig hasn’t seen the same operation hit other victims yet, given how cheap it is to run an agent, he expects that to change.
*When you purchase through links in our articles, we may earn a small commission. This doesn’t affect our editorial independence.*
Loizos has been reporting on Silicon Valley since the late ’90s, when she joined the original Red Herring magazine. Previously the Silicon Valley Editor of TechCrunch, she was named Editor in Chief and General Manager of TechCrunch in September 2023. She’s also the founder of StrictlyVC, a daily e-newsletter and lecture series acquired by Yahoo in August 2023 and now operated as a sub brand of TechCrunch.
You can contact or verify outreach from Connie by emailing connie@strictlyvc.com or connie@techcrunch.com, or via encrypted message at ConnieLoizos.53 on Signal.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み