AI連携プロトコル MCP のセキュリティ侵害経緯
MCP、相次ぐセキュリティ侵AIエージェント連携基盤であるModel Context Protocol (MCP) は、2024年導入後、WhatsAppのチャット履歴漏洩、GitHubのリポジトリ情報窃取、Asanaのデータ共有問題など、複数のセキュリティ侵害が発生しました。
攻撃手法はプロンプトインジェクション、サンドボックス脱出など多様で、LLMを活用する環境におけるセキュリティ対策の重要性を浮き彫りにしています。
サプライチェーン攻撃や設計上の脆弱性も確認され、今後の対策が急務です。
2024年11月にAnthropicが発表したAIエージェント向け接続プロトコル「Model Context Protocol(MCP)」。わずか半年間で dozens of tool serversやオープンソース統合が急速に普及する一方、2025年4月以降、複数の深刻なセキュリティ侵害が相次いで発覚している。AIネイティブの世界であっても、基本的なセキュリティ原則の適用を怠れば、従来のソフトウェアと同様のリスクが生じることを示す事例が集積しつつある。
ツール毒盛りとプロンプトインジェクション
2025年4月、Invariant LabsはWhatsApp MCPサーバーを悪用した攻撃を実証した。悪意のあるMCPサーバーが「ランダムな事実」ツールに潜伏し、ユーザーの全WhatsApp履歴を攻撃者管理の電話番号に密かに送信可能だったことが判明。続く5月にもGitHub公式MCPサーバーへのプロンプトインジェクション攻撃が発見され、、悪意のあるGitHubイシューに埋め込まれた指示により、プライベートリポジトリのデータが漏洩する事態が発生した。両攻撃ともに、MCPサーバーに強力な権限を付与した状態で信頼できないコンテンツを入力としてしまう点が原因とされる。
インフラとエコシステムへの侵入
同年6月、Anthropicの开发者向けツール「MCP Inspector」に認証なしリモートコード実行(RCE)の脆弱性が発見されたのを皮切りに、7月にはMCP接続用OAuthプロキシ「mcp-remote」にOSコマンドインジェクションの脆弱性(CVE-2025-6514)が判明。437,000回以上のダウンロードがあり、CloudflareやHugging Faceの統合ガイドでも採用されていたことから、多くの開発者が影響を受けた。9月には正規の「Postmark MCPサーバー」を装った悪意のあるパッケージが発見され、送信メール全てのBCCコピーが攻撃者サーバーに送信されるというサプライチェーン攻撃も発生している。
設計上の根本的な欠陥
2026年4月、ox.securityの研究によりMCPのコア仕様における根本的な設計欠陥が明らかになった。STDIOトランスポートが設定から直接コマンド実行を許可しており、入力サニタイズが不十分な場合、任意のOSコマンドが実行可能になる。この問題は「AIサプライチェーンの母」と呼ばれ、LettaAIやLangFlow、Flowiseなど複数のサービスで認証済みRCEやサーバー乗っ取りに悪用されている。150万回以上のダウンロードに影響し、10件以上のCVEが発行されるなど、MCPエコシステム全体への長期的な脅威となっている。
今後の課題と防御の必要性
MCP関連の脆弱性は2025年4月から2026年4月にかけて15件以上発生しており、認証情報の漏洩、リポジトリデータの流出、サーバー乗っ取りなど被害は多岐にわたる。特にMCPサーバーが高権限で動作ことが多く、エコシステムの急速な拡大に対してセキュリティ検証が追いついていない状況が浮き彫りになった。研究者らは事前設定の許可リストや明示的な「dangerous mode」フラグの導入を提案しており、開発者はMCPサーバーの信頼性検証と権限管理に一層注意を払う必要がありそうだ。
まとめ
MCPはAIエージェントの利便性を大きく向上させる技術だが、セキュリティの的基本原則なくして安全な運用は実現しない。2025年後半から2026年にかけての設計上の脆弱性は、エコシステム全体の根本的な再設計を迫るものであり、MCPを採用する開発者・企業は今後も脆弱性情報への注視が必要となりそうだ。
原文の冒頭を表示(英語・3段落のみ)
Update: This post was updated in April 2026 with mentions of new MCP-related breaches.
AI fundamentally changes the interface, but not the fundamentals of security. Read on to find out why
It feels like eons ago when the Model Context Protocol (MCP) was introduced (it was only in November 2024 lol)
※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。