- セキュリティ企業Sysdigが「世界初のエージェント型ランサムウェア」JADEPUFFER(ジェイドパファー)を報告しました
- 侵入から身代金要求まで、すべてをAIエージェントが人の手を借りず自動で実行しました
- 攻撃が失敗すると、AIはわずか31秒で原因を突き止めて手順を修正しました
- 本番データベースの設定1,342件を暗号化し、ビットコインで身代金を要求しました
- 「攻撃のハードルがほぼゼロになった」とSysdigは警告しています
「サイバー攻撃は、腕のいいハッカーがやるもの」。そう思っていませんか。ところが2026年7月、その常識をひっくり返す事件が報告されました。攻撃を最初から最後までやり切ったのは、人間ではなくAIエージェントだったのです。この記事では、世界初とされる自律型ランサムウェア「JADEPUFFER」の中身を、やさしく解説します。
JADEPUFFERとは?世界初のエージェント型ランサムウェア
2026年7月2日、セキュリティ企業のSysdig(シスディグ)が衝撃的な報告を公開しました。
見つかったのは「JADEPUFFER(ジェイドパファー)」と名付けられた攻撃です。
これはエージェント型ランサムウェアと呼ばれています。ランサムウェアとは、データを勝手に暗号化して「元に戻してほしければお金を払え」と要求する不正プログラムのことです。
これまでのランサムウェアは、人間の攻撃者が道具として使うものでした。
ところがJADEPUFFERは違います。侵入・情報の盗み出し・暗号化・身代金要求まで、すべてをAIエージェント(自分で考えて動くAI)が単独でやり遂げたのです。
Sysdigはこれを「私たちが確認したかぎり、史上初のエージェント駆動型ランサムウェア作戦」と位置づけています。
どうやって攻撃した?侵入から身代金までの流れ
AIエージェントがたどった道のりを、順番に見ていきましょう。
入り口は「Langflow」の穴
最初の侵入口になったのは、インターネットに公開されていたLangflow(ラングフロー)というAI開発ツールでした。
ここには「CVE-2025-3248」という深刻な弱点(脆弱性)がありました。認証(本人確認)が抜けていて、誰でも勝手にプログラムを実行できてしまう穴です。
AIエージェントはこの穴から侵入し、すぐにAPIキーやクラウドの認証情報を探し始めました。
本命は「本番データベース」
実は、Langflowはただの通り道でした。
AIの本当の狙いは、別に公開されていた本番用のデータベースサーバーです。ここにはMySQLと、アリババ製の設定管理ツール「Nacos(ナコス)」が動いていました。
AIはNacosの弱点(CVE-2021-29441)を突き、広く知られた初期設定の鍵を使って管理者になりすましました。
1,342件を暗号化して身代金を要求
最終的に、AIはNacosの設定1,342件を暗号化しました。もとのデータが入ったテーブルも削除しています。
そして「README_RANSOM」という身代金要求の置き手紙を残し、ビットコインの送金先とProtonMailの連絡先を記載しました。
作戦全体でAIが実行した攻撃コードは、なんと600種類以上にのぼったといいます。
「31秒で軌道修正」AIが自律的に動いた証拠
今回いちばん怖いのは、AIが失敗から自分で学んで立て直した点です。
Sysdigが記録したタイムラインを見てみましょう。
- 19:34:24 管理者アカウントの作成を試みる
- 19:34:36 ログイン失敗(12秒後に気づく)
- 19:35:07 修正した手順を実行(失敗から31秒後)
- 19:35:18 ログイン成功
ここでAIは、ただ闇雲にやり直したわけではありません。
パスワードの暗号化のやり方が間違っていたと原因を正確に診断し、方法を切り替えて、失敗したアカウントを消してから作り直しました。
ほかにも自律的な動きが見つかっています。あるツールがXML形式で返事をしてくると、AIは次の手ですぐに読み取り方を変えました。データベースの削除に失敗したときは、原因(外部キー制約)を見抜いて設定を一時的に外しました。
Sysdigが「これは人間ではない」と判断した決め手が、コードの書き方です。攻撃コードには、「なぜこの操作をするのか」を説明する自然な文章のコメントがびっしり書き込まれていました。
人間のハッカーは、使い捨てのコードにわざわざ丁寧な解説を付けません。これはAIが自然と残してしまう「クセ」だったのです。
PromptLockとの違い|”実験”から”実戦”へ
「AIが作るランサムウェア」は、実は今回が初めての話題ではありません。
2025年8月、セキュリティ企業ESET(イーセット)が「PromptLock(プロンプトロック)」というAIランサムウェアを発見しました。ローカルで動くAIモデルに不正なスクリプトを作らせる仕組みで、大きなニュースになりました。
ただし、PromptLockには重要なポイントがあります。
それは実際の攻撃には使われていなかったことです。正体は、ニューヨーク大学の研究チームが作った実験用の試作品(概念実証)でした。
つまり両者の違いは、次のように整理できます。
- PromptLock:研究目的の「実験」。実戦では使われていない
- JADEPUFFER:実在の企業を狙った「実戦」。被害が現実に発生した
AIランサムウェアは、ついに研究室から飛び出し、本物の攻撃として現れたのです。この一歩は、とても大きな意味を持っています。
日本の企業にとって何が怖いのか
「海外の話でしょう?」と思うかもしれません。でも、これは日本にとっても他人事ではありません。
今回の攻撃で狙われたのは、インターネットに公開された設定ミスのあるサーバーでした。同じような設定は、日本企業のシステムにもたくさん眠っています。
しかもSysdigは、こう警告しています。「ランサムウェアを動かす技術のハードルは、ただAIを動かすコストまで下がった」。
これはつまり、高い技術がない攻撃者でも、AIに任せれば攻撃できてしまうということです。攻撃の数が一気に増える恐れがあります。
日本のランサムウェア被害は、もともと深刻です。ある調査では、従業員5,000人以上の企業のうち50%が感染を経験したと報告されています。
情報処理推進機構(IPA)も「情報セキュリティ10大脅威 2026」で、AIを悪用した攻撃を大きなリスクとして挙げています。AIが攻撃を自動化する時代は、もう始まっているのです。
私たちにできる対策は?
では、どう身を守ればいいのでしょうか。Sysdigが挙げた対策の中から、大切なものを紹介します。
まず基本は、使っているソフトを最新に保つことです。今回悪用されたLangflowの穴も、修正版へ更新すれば防げました。
次に大事なのが、データベースの管理画面をインターネットに直接さらさないことです。接続できる場所を限定するだけで、リスクは大きく下がります。
ほかにも、次のような対策が有効です。
- 初期設定のパスワードや鍵は必ず変更する
- AIツールに不要な認証情報を持たせない
- あやしい通信を検知する仕組みを入れる
- 多要素認証(パスワード+αの本人確認)を有効にする
ちなみに、これらは特別な対策ではありません。「基本をきちんとやる」ことが、AIによる自動攻撃への一番の盾になります。
よくある質問(FAQ)
Q1. 身代金を払えばデータは戻ってきますか?
戻ってこない可能性が高いです。JADEPUFFERは暗号化の鍵を保存していませんでした。そのため、たとえお金を払っても復元できない仕組みになっていました。身代金の支払いは推奨されません。
Q2. 個人のパソコンも狙われますか?
今回の標的は企業のサーバーでした。ただし、AI攻撃の手口が広がれば、個人が使うサービスに影響が及ぶ可能性はあります。日頃の更新やパスワード管理は大切です。
Q3. どんなAIが使われたのですか?
具体的なAIモデル名は公表されていません。ただ、攻撃コードに残された自然な文章のコメントから、大規模言語モデル(人間のように文章を書けるAI)が使われたと分析されています。
Q4. なぜ「世界初」と言えるのですか?
侵入から身代金要求まで、すべての工程を人間が介さずAIが実行した実例は、確認されているかぎり初めてだからです。過去のPromptLockは実験段階で、実戦には使われていませんでした。
まとめ
今回のポイントを振り返りましょう。
- Sysdigが世界初のエージェント型ランサムウェア「JADEPUFFER」を報告した
- 侵入から身代金要求まで、AIエージェントが単独で実行した
- 失敗しても31秒で原因を突き止め、自分で手順を修正した
- 本番データベースの設定1,342件を暗号化し、身代金を要求した
- 攻撃のハードルが下がり、今後こうした攻撃が増える恐れがある
AIが「便利な道具」から「自律的な攻撃者」に変わりつつある今、まずは自社のサーバー設定とソフトの更新状況を、今日のうちに一度見直してみてください。
参考文献
- Sysdig「JADEPUFFER: Agentic ransomware for automated database extortion」
- GIGAZINE「史上初の『エージェント型ランサムウェア』感染事例」
- The Hacker News「AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack」
- The Register「Smooth AI criminal drives ‘first’ end-to-end agentic ransomware attack」
- ESET「First known AI-powered ransomware uncovered by ESET Research(PromptLock)」

