31秒で自己修正するAIランサムウェア――誰が隔離を決めるのか

31秒で失敗を修正したJADEPUFFERの事例から、AI時代のサイバー防御に必要な判断権限、停止条件、エスカレーション、記録の設計を考える。

深夜のアラートと、31秒

深夜、企業のセキュリティ監視画面に、本番環境への不審な認証試行が表示される。

担当者は、本番サーバーをネットワークから切り離すべきか迷う。隔離すれば侵害の拡大を止められるかもしれないが、同時に顧客向けサービスも止まる。上司に諮るべきか、事業責任者か、それとも経営層か。 連絡網を開いたその時点で、攻撃側ではすでに、失敗した処理の修正が始まっている。

ある攻撃の分析では、失敗したログインから修正された処理へ移るまでの時間が、31秒だったと報告されている。 担当者が連絡先を一人思い浮かべ、状況を一言で言い表そうとするあいだに、その時間は過ぎてしまう。

この31秒のあいだ、防御側では誰が決めるのか。

これは新しい攻撃技術の問いではなく、組織の判断設計の問いである。 本稿は、この問いを起点に、AIエージェントが攻撃と防御にもたらした変化を、技術ではなく経営の問題として読み解く。

JADEPUFFERで観測されたこと

きっかけは、医療情報セキュリティ媒体The HIPAA Journalが2026年7月6日に掲載した、Steve Alderによる「AI Agent Conducts First Fully Autonomous Ransomware Attack」だった。 ただし、これは二次報道である。攻撃を直接分析したのは、クラウドセキュリティ企業Sysdigの脅威調査チーム(Sysdig Threat Research Team)であり、原資料はMichael Clarkによる「JADEPUFFER: Agentic ransomware for automated database extortion」である。 この事例をSysdigはJADEPUFFERと名づけ、「最初に文書化されたエージェンティックなランサムウェア」と評価している。 以下の事実は、Sysdigが観測し、報告し、評価したものである。

侵入口になったのは、インターネットに公開されたLangflow環境だった。 Langflowは生成AIのワークフローを組むためのツールで、その環境には外部サービスのAPIキーやクラウド認証情報が置かれることがある。 ここで悪用されたCVE-2025-3248は、認証なしで任意コードの実行を許す既知の脆弱性である。2025年4月に公開され、修正版も提供されていた。米Cybersecurity and Infrastructure Security Agency(CISA)のKnown Exploited Vulnerabilities Catalogにも、悪用が確認された脆弱性として掲載されている。

Sysdigの観測によれば、攻撃は特別なゼロデイに頼っていない。 既知の脆弱性、初期設定のまま放置された認証情報、露出したクレデンシャルが、次々に連鎖して使われた。 Sysdigは、600を超える意図の読み取れるペイロードと、失敗に応じた修正の連続を観測したと報告している。 そして、あるログインの失敗から、原因を切り分けた複数段階の修正へ移るまでが、31秒だったと記録している。 最終的に、1,342件の設定項目が暗号化され、元のデータは破棄され、身代金を要求するメッセージが残されたとされる。

ここに、攻撃としての皮肉がある。 Sysdigの分析では、暗号化に使われた鍵は保存も送信もされた形跡がなく、被害者は身代金を支払っても復旧できなかった可能性が高い。 使われた一つひとつの手口は、いずれも目新しいものではなかった。 新しかったのは、発見し、複数の手段を試し、失敗を診断し、次の一手を選び直すという判断の連鎖が、SysdigがLLM駆動と評価するかたちで回っていた点である。

「完全自律」という言葉が指しているもの

ここで、言葉の輪郭をはっきりさせておきたい。

「完全自律」とは、AIが独自の目的や犯罪の意思を持ちはじめた、という意味ではない。 Sysdig自身、攻撃者側のシステムプロンプトやエージェントの設定を確認できておらず、どのモデルが使われたのかも外部からはわからないとしている。 本番データベースへの接続に使われたroot権限の認証情報についても、被害環境から盗み出される場面は観測されておらず、由来は不明とされる。 身代金要求に記されたBitcoinアドレスに至っては、AIの学習データに含まれる例示用のアドレスなのか、攻撃者が意図して設定したものなのか、Sysdigは自社のデータからは判別できないとしている。

つまり「完全自律」は、独立して確定した歴史的事実ではなく、観測された証拠にもとづくSysdigの分析上の評価である。 その証拠とは、短い時間に集中して実行された多数のペイロード、失敗のあとに続く的確な自己修正、コードに添えられた自然言語の注釈などである。 Sysdigはセキュリティ製品を販売する企業でもあり、この調査には自社の技術力を示す側面もある。 他の媒体がこの評価を繰り返していることは、独立した裏づけとは数えられない。

この留保は、事件を小さく見せるためではない。 むしろ論点を移すために置いている。 問うべきは「人間が完全に消えたのか」ではなく、「どの判断が機械へ移されたのか」である。 本稿でいうエージェンティックなサイバー攻撃とは、攻撃者が与えた目的の下で、AIエージェントが偵察から実行までの判断を選び、失敗に適応しながら攻撃工程を継続する攻撃である。 新しさは、道具ではなく、判断の担い手にある。

変わったのは攻撃手法よりも、判断にかかる時間である

この見方は、各国のサイバーセキュリティ機関が示す危機認識とも重なる。 2026年6月22日、Five Eyesの関係機関は共同声明を出し、AIがサイバー脅威の速度、規模、巧妙さを加速させると警告した。フロンティアAIが攻防双方の能力を根本から変えるまでの時間軸は、年単位ではなく月単位だとしている。

ただ、権威の引用だけで論を終えるわけにはいかない。 問題の核心は、二つの判断ループの速度差にある。

攻撃側では、観測し、診断し、選び、実行し、また観測するというループが、秒の単位で回る。 一方、防御側の判断ループは、アラートの確認、担当者への連絡、影響範囲の調査、事業部への確認、責任者の承認という順で進み、分単位、ときに時間単位で回る。 JADEPUFFERの31秒は、この差を具体的な数字にして見せたものだった。

ここで誤解しやすいのは、人間がAIより遅いこと自体が問題だ、という受け取り方である。 そうではない。 本当の問題は、誰がどこまで決めてよいのかが事前に設計されておらず、異常が起きてから承認経路を探し始めるところにある。 速さの差は前提であって、設計の対象は速さではなく判断の配置である。

既存の取り組みが担う役割と、そこに残る空白

この空白は、既存の枠組みが不要だという話ではない。

Governanceは、どのルールで監督し、誰にどの権限を与え、何を説明責任とするかを扱う。 DXは、業務や価値提供のかたちをどう変えるかを扱う。 Automationは、どの処理を機械に任せるかを扱う。 AI Ethicsは、守るべき価値や原則を扱う。 そしてサイバーセキュリティ管理は、脆弱性、アクセス、検知、対応、復旧を扱う。 どれも必要であり、いずれかを否定して済む話ではない。

しかし、これらの制度名を掲げるだけでは決まらない問いがある。 重大な異常を検知したAIは、本番環境を自動で隔離してよいのか。 どの確度と影響度なら、認証情報を自動で失効させてよいのか。 誤検知でサービスを止めてしまったとき、その損失は誰が引き受けるのか。 これらは、規程やガイドラインを整備しただけでは答えの出ない、個別の判断境界の問題である。

この事件が残した結論

ここまでから見えてくる結論は明快である。

AIエージェントが変えたのは、作業の速度だけではない。観測し、選び、失敗から修正し、次の行動へ進むという、判断そのものの速度である。

だとすれば、防御側が設計すべき対象も、検知ツールや防御製品だけではない。誰が、どの条件で、どこまでを決めてよいのかという、判断そのものである。その線を平時に引いておけるかどうかが、31秒で自己修正する攻撃に向き合えるかどうかを分ける。

ところが、多くの組織では、検知の仕組み、承認経路、自動化の範囲が別々に整備されても、それらを「誰が何を決めるか」という一つの問いで結び直す枠組みがない。31秒が始まる前に必要なのは、この判断の空白を埋める設計である。

この不足を埋めるのが、Decision Design™︎である。Decision Designは、判断という行為そのものを設計対象とする思想だ。その中心にあるのが、Decision Boundary™︎という概念である。誰が決めるのか。どこまでを任せ、どこからを引き受けるのか。その線を無自覚のまま放置せず、意図的に設計すること。それがDecision Designである。

実務への含意

JADEPUFFERの事例から得られる実務上の示唆は、すべてを自動化することでも、すべてを人間の承認に戻すことでもない。必要なのは、異常が起きる前に判断の境界を設計しておくことである。

AIや自動化に任せるのは、影響範囲が限定され、取り消し可能で、条件を機械的に確認できる措置である。たとえば、疑わしいセッションの一時停止、特定の認証情報の短時間の無効化、対象を限定したネットワーク隔離などが考えられる。一方、全社サービスの停止、データの削除、恒久的な設定変更、顧客や当局への対外通知は、あらかじめ指名された人間または組織が引き受けるべき判断である。

その境界を機能させるには、少なくとも四つを事前に定める必要がある。

  1. 自動措置を開始できる検知条件と確度
  2. 自動措置を継続してよい時間と停止条件
  3. 人間が応答しない場合の代理決裁者とエスカレーション先
  4. 検知根拠、選択肢、実行結果を残すDecision Log

31秒に対抗するために、人間が31秒で承認する必要はない。平時に権限、条件、停止規則、記録方法を決めておけば、機械は限定された初動を取り、人間は影響の大きい判断に集中できる。これが、速度差を組織の設計で吸収するということである。

詳細版について

本稿は、英語版Insynergy Insightと対応する日本語サイト版である。深夜のアラートを題材にしたDecision Design、Decision Boundary、例外処理、事後検証の詳細な実装モデルは、noteの詳細版で解説している。

Read the original English analysis (English) →note版を開く →