最近、初の「AIエージェントランサムウェア」として知られるJadePufferに関する報道が、サイバーセキュリティ業界で広く注目を集めている。以前には、この攻撃が完全にAIによって自律的に行われ、人間の監督を必要としないという見方もありました。しかし、クラウドセキュリティ企業Sysdigによる最新の説明により、この事件はより明確な解釈を得たのです。確かに、AIは技術的な実行において驚くほど自動化された能力を示しましたが、その中での人間の重要な役割は依然として不可欠です。
Sysdigの脅威研究上級ディレクターであるMichael Clark氏による詳細な振り返りによると、JadePufferはいわゆる「完全自律型」の行動ではありませんでした。背後には依然として人間の操縦者がいて、戦略的な意思決定の中心的な役割を果たしていました。具体的には、コマンド&コントロールサーバーの設定やデータの中継経路の構築、そして最も重要な点である攻撃対象の選定と初期の侵入認証の提供を行っていました。これらの認証は、AIが突然思いついたものではなく、過去の侵入行為を通じて事前に盗まれたものであり、その後手動でAIに与えられて作業が行われました。
それでも、JadePufferの技術的実行プロセスにおける振る舞いは非常に警戒すべきものです。このエージェントはLangflowアプリケーション内の既知の脆弱性を利用して防衛線を突破し、生産環境に侵入した後、非常に高い処理効率を示しました。ネットワーク内で横方向に移動したり、機密データを窃取したり、操作が妨げられた際にも31秒以内にエラーを分析し、パラメータを修正して再試行することができました。その過程では自然言語によるコードコメントも含まれており、「推論のプロセス」を記述していました。1300以上の設定記録を暗号化した後には、ランサムメッセージを自動生成することも可能です。
このエージェントを駆動するモデルについては、現在のところ結論が出ていません。攻撃中にOpenAI、Anthropic、DeepSeek、GeminiのAPIキーが確認されたものの、これらはエージェントが盗んだ「物資」であり、モデルの駆動本体ではありません。業界の研究者らは、これの背後には安全対応の制限が取り除かれたオープンソースの重みモデルが使われている可能性があると考えています。
この出来事は、「人間とAIの協働」に基づくブラックマーケットの新しいパターンを明らかにし、サイバー攻撃の門檻をさらに下げました。セキュリティ専門家が警告しているように、現時点ではAIが人間の指示なしに戦略計画を行うことはできませんが、自動化コストが継続的に低下することで、このように迅速に反復され、技術的障害に対応できる代理型の攻撃は、今後はより大規模な脅威になる可能性があります。企業にとって重要なのは、AI技術の悪用を防止するだけでなく、根本的な防御策を講じることです。例えば、コアインターフェースのバグ修正や権限の最小化管理など、基礎的な防御面に重点を置くことが求められます。
