出典:Panther Media Global(Alamy Stock Photo経由)
現在ウェブ上に公開されている約2,000台のModel Context Protocol(MCP)サーバーのほぼすべてが、認証やアクセス制御を全く備えていません。
あらゆるテクノロジーはリリース初期に成長痛を経験しますが、特にサイバーセキュリティの観点では顕著です。これは人工知能(AI)において特に当てはまり、AIの急速な導入がセキュリティよりも優先されていることを最も象徴しているのがMCPサーバーです。MCPサーバーは、ユーザーがAIモデルをデータソースに簡単に接続できるようにします。AnthropicがMCPプロトコルを開発してから約9か月の間に、数千台が生まれ、その多くがベストプラクティスを無視し、インターネット上に無防備に公開されています。
Knosticの研究者がインターネット上に公開されたMCPサーバーをスキャンしたところ、1,862台が見つかりました。これらがインターネット上で発見可能な状態にあること自体が問題ですが、研究者が実際に問い合わせを行ったところ、どのサーバーにも認証チェックが一切存在しないことが判明し、状況はさらに深刻となりました。
公開されたMCPサーバー
これらのサーバーに一般的なセキュリティレベルがどの程度かをテストするため、研究者は119台をサンプルとして調査しました。それぞれに「tools/list」リクエストを送り、サーバーが持つすべての実行可能な機能(ツール)を一覧表示するように問い合わせました。119台のうち、どれ一つとしてこのリクエストに対して認証を要求しませんでした。どのサーバーも、通りすがりの誰にでも内部情報をむき出しで公開していたのです。
Knosticのリサーチエンジニア、ヘザー・リン氏は、このパンドラの箱を開けた時のことを振り返ります。「人々がデータベースへのコネクタを公開しているのを見つけました。クラウドサービス管理ツールを公開している例もありました。自動車修理サービスのものもあり、進行中の修理や修理費用の見積もりを管理するために使われていました。つまり、これらは誰でも公開で問い合わせができる状態だったのです」と彼女は語ります。
ある意味で、この調査はMCPが業界や用途を問わず広く普及していることを示しています。リン氏はさらに「鉄道の時刻表を公開しているものもありました。これは、サーバーの他の部分がしっかりロックダウンされていれば、MCPサーバーを公開する正当な用途と言えます。また、ダッシュボードのような企業向け生産性アプリを公開しているものもあり、プロジェクト管理やチーム間のコミュニケーションに使われているようでした。マーケティングリサーチツールや、法的データベース(ケース情報)を持つものも見つかりました。そのケース情報が公開情報なのか、非公開なのかは私たちには分かりませんでした」と述べています。
倫理的な観点から、研究者たちはこの時点で調査を中止しました。しかし、もし攻撃者が同じ立場にいた場合、これらの機能を悪用目的で呼び出すことも可能です。
現時点で実際の被害は確認されていませんが、攻撃者はMCPサーバーを悪用して任意のコマンドを実行し、システム全体の乗っ取りにつながる可能性があります。また、機密ファイルを含むデータや認証情報、APIキー、その他サーバーに保存されているあらゆるデータを流出させることができます。悪意のある者はMCPへのアクセスを利用し、「ウォレット拒否(DoW)」攻撃、すなわち被害者の計算リソースを大量消費させて高額な請求を発生させることも可能です。
MCPセキュリティの現状
リン氏は、MCP、ひいてはAI全体が初期段階の技術に伴う自然な成長痛を経験していると認めています。「でも、ここには少し違う点もあると思います」と彼女は言います。
例えば、クラウドコンピューティング初期の頃を考えてみてください。リン氏は「この種の技術を実装するには技術的なハードルが高かった。プログラマーである必要があり、ある程度の経験も必要でした。でも、今のAI技術の多くはすぐに使えるように設計されていて、とても簡単に利用できます。そのため、これまでセキュリティの教訓を学んでこなかった多くの人々が参加し、今まさにその教訓を痛い思いをしながら学んでいるのです」と説明します。
開発者は、新しい技術にセキュリティを組み込むことで、ユーザー自身を守る力を持っています。しかし、AnthropicのMCP仕様は当初から認証をユーザーの裁量に任せてきました。実際にそれを活用しているユーザーは知られていません。(もしかすると一部はいるかもしれませんが、不要にサーバーをウェブに公開しているユーザーは、他の面でもセキュリティを忘れがちです。)
とはいえ、リン氏はAnthropicを責めてはいません。「一般的に、人々は実験的なプロトコルや仕組みを、誰かが興味を持つかどうかを見るために公開します。そして、それがあまり興味を引かず広く採用されないものであれば、最初からセキュリティをしっかり組み込む時間をかけないこともあります」と述べています。
「多くの人がこの技術を使うと分かった時点で、彼らは仕様をセキュリティ意識を持って更新するという正しい対応をしたと思います」と彼女は言います。新しいMCP仕様でも認証は必須ではありませんが、実装したい人向けにガイドラインやツールがより多く提供されています。
「私が見た限りでは」と彼女は付け加えます。「Anthropicはセキュリティコミュニティと非常に良好な関係を築いています。彼らは正しいことをしています。自社の技術でより広い世界を守るために、正しいレベルのコミットメントを持っています。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/2000-mcp-servers-security