新たな調査によると、Model Context Protocol(MCP)サーバーとして知られるAI関連サーバーの数が増加しており、設定ミスや深刻なセキュリティ脅威に対して脆弱であることが確認されています。
Backslash Securityによる分析では、これらのシステムの数百台が、ユーザーをデータ漏洩やリモートコード実行(RCE)攻撃の危険にさらす可能性があることが明らかになりました。
MCPサーバーは2024年後半に初めて導入され、AIアプリケーションが学習モデルに含まれていない外部またはプライベートデータへアクセスできるようにします。これらのサーバーは、今や多くの組織のAIインフラストラクチャの重要な一部となっており、世界中で15,000台以上が稼働しています。しかし、その急速な普及は安全な導入手順を上回っています。
「どれだけ多くのAPIをAI経由で利用可能にして、即座に機能を向上させられるかという軍拡競争のようなものです」と、Cequence SecurityのEMEA担当システムエンジニアリングディレクターであるJames Sherlow氏は述べています。
「しかし、MCPはプロキシであり、クライアント側のアクターを意図せず隠してしまう可能性があります。」
この分析では、現在パブリックWeb上でアクセス可能な7,000台以上のMCPサーバーが調査されました。
そのうち数百台は、「NeighborJack」と名付けられた脆弱性により、同じローカルネットワーク上の誰でもアクセスできる状態であることが判明し、約70台には入力検証の欠如や過剰な権限などの重大な欠陥が存在していました。
いくつかのケースでは、両方の問題が同時に存在しており、攻撃者がホストマシンを完全に乗っ取ることが可能となる恐れがあります。
AIのコンテキスト・ポイズニング攻撃について詳しく読む:新たなConfusedPilot攻撃がデータポイズニングでAIシステムを標的に
調査チームはまた、MCPがコンテキスト・ポイズニング攻撃に悪用される可能性があることも指摘しています。これは、大規模言語モデル(LLM)が依存するデータが改ざんされ、不正な出力を導くものです。
調査中に悪意のあるMCPは確認されませんでしたが、多くが不適切な設定や認証の欠如により無防備な状態にありました。
増大するリスクに対処するため、Backslash SecurityはMCPサーバーのセキュリティ状況を評価した7,000台以上のサーバーを検索できる「MCP Server Security Hub」を公開しました。また、「vibe coding」環境を監査できる無料の自己評価ツールも提供されています。
Backslashは、同様の脅威から守るために以下の対策を推奨しています:
-
ローカルネットワークインターフェース(127.0.0.1)へのアクセスを制限する
-
すべての外部入力を検証する
-
ファイルシステムへのアクセスを必要なディレクトリのみに制限する
-
AIの応答で内部ログや秘密情報を公開しない
-
厳格な認証およびアクセス制御を実装する
明確な標準や強力なセーフガードがなければ、MCPサーバーの急速な拡大はAI環境に隠れたリスクを引き続きもたらす可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/mcp-servers-risk-rce-data-leaks/