MCPサーバーをご存知ですか?AIアシスタントがメールを送信したり、データベースクエリを実行したり、基本的に手作業でやりたくないつまらない作業をすべて処理できる便利なツールです。さて、ここが問題です。十分に注目されていないことがあります。私たちはこれらのツールに神のようなパーミッションを与えています。出会ったこともない人が作ったツール。審査する方法がまったくない人。そしてAIアシスタント?私たちはそれらを完全に信頼しているだけです。
これが私がこれを書いている理由です。postmark-mcpは毎週1,500回ダウンロードされ、数百の開発者ワークフローに統合されています。バージョン1.0.16以降、開発者の個人サーバーにすべてのメールをひっそりコピーしています。パスワードリセット、請求書、内部メモ、機密文書など、すべてです。
これは実世界で最初に目撃された悪意あるMCPサーバーです。エンドポイントサプライチェーン攻撃の攻撃面は、ゆっくりと企業の最大の攻撃面になりつつあります。
では…リスクエンジンは何を検出しましたか?
ここでこの全体がどのように始まったかについて説明します。Koiのリスクエンジンは、バージョン1.0.16が疑わしい動作の変化を導入したときにpostmark-mcpにフラグを立てました。私たちの研究者がリスクエンジンがフラグを立てたマルウェアのように掘り下げたとき、私たちが見つけたものは非常に不安でした。
紙の上では、このパッケージは完璧に見えました。開発者?パリのソフトウェアエンジニア、本名を使用し、正当なプロジェクトが詰まったGitHubプロフィール。これはアニメアバターを持つ怪しげな匿名アカウントではありませんでした。実際の人で、実際の評判を持つ誰か、おそらくカンファレンスでコーヒーを飲むでしょう。
15バージョン——15——ツールは完璧に機能しました。開発者たちはそれをチームに勧めていました。「ほら、Postmark統合のための素晴らしいMCPサーバーをチェックしてください。」それは開発者の日常的なワークフローの一部になり、朝のコーヒーと同じくらい信頼されていました。
その後、バージョン1.0.16がリリースされました。231行目に埋もれていて、私たちのリスクエンジンは次の宝石を見つけました:
1つの行。そしてブーム——すべてのメールは今、不要な乗客を持っています。
ここで注目すべき点——同じ名前の完全に正当なGitHubリポジトリが存在し、Postmark(ActiveCampaign)によって正式に管理されています。攻撃者は合法的なコードを彼らのリポジトリから取得し、悪意あるBCC行を追加し、同じ名前のnpmに公開しました。古典的ななりすまし。
見てください。私は理解しています。人生は起こります。もしかして開発者は経済的なトラブルに見舞われたのかもしれません。もしかして誰かが彼のDMにスライドして、拒否できない提案をしたのかもしれません。地獄のように、もしかして彼はある日目覚めて「これで逃げられるかな?」と思ったのかもしれません。何が誰かの頭のスイッチを入れるのか、何が正当な開発者に1,500人の信頼しているユーザーを突然背中を刺すことにするのか、私たちは本当に知ることはできません。
しかしそれはまさにポイントです。私たちは知ることができません。予測することはできません。そして起こるとき?ほとんどの場合、それが遅すぎるまで気付きません。現代の企業にとって、問題はさらに深刻です。セキュリティチームが従来の脅威とコンプライアンスフレームワークに焦点を当てる中で、開発者は確立されたセキュリティ境界の外で完全に動作するAIツールを独立して採用しています。これらのMCPサーバーはAIアシスタント自身と同じ権限で実行——完全なメールアクセス、データベース接続、API権限——しかし、どんなアセットインベントリにも表示されず、ベンダーリスク評価をスキップし、DLPからメールゲートウェイまでのすべてのセキュリティコントロールをバイパスします。AIアシスタントが数か月間静かにメールを外部サーバーにBCCしていることに誰かが気付くまでに、損害はすでに致命的です。
影響について話しましょう
了解しました。ここで実際に何を見ているかについて説明するのに耐えてください。
MCPサーバーをインストールするのは、AIがメールを処理するようにしたいからですね?合理的に見えます。時間を節約します。生産性を向上させます。そのすべてのいいもの。しかし実際にやっていることは、出会ったこともない誰かに電子メールフロー全体の完全な制御を譲っています。
私たちは影響を推測することしかできません:
- 毎週1,500回のダウンロード
- 控えめに言って、20%が積極的に使用中かもしれません
- これは約300の組織です
- それぞれおそらく1日に10~50通のメールを送信しているでしょう?
- 毎日3,000~15,000通のメールがgiftshop.clubに直接流れています
そして本当に混乱した部分?開発者は何もハックしませんでした。ゼロデイを悪用しませんでした。洗練された攻撃ベクトルを使用しませんでした。私たちはリテラルに鍵を彼に渡し、「ここに、フルパーミッションでこのコードを実行して」と言い、AIアシスタントに1日に数百回それを使用させました。私たちはこれを自分たちでしました。
私は今何年もセキュリティをやっていますが、この特定の問題は私を眠れなくさせています。どういうわけか、私たちはみんな、ランダムな見知らぬ人からツールをインストールするのが完全に普通だと受け入れています:
- 私たちとしてメールを送信(私たちの完全な権限で)
- 私たちのデータベースにアクセス(はい、すべて)
- 私たちのシステムでコマンドを実行
- 私たちの認証情報でAPI呼び出しを行う
そしてインストールした後?AIアシスタントはただ町に出かけます。レビュープロセスはありません。「本当にこのメールをgiftshop.clubにBCCして送信すべき?」ということはありません。ただ盲目的で、自動実行。何度も何度も。1日に数百回。
ここにはセキュリティモデルがまったくありません。サンドボックスはありません。隔離はありません。何もない。ツールが「このメールを送信」と言ったら、AIがそれを送信します。「あ、これも確認して」と言ったら、このランダムなアドレスのコピー」、AIも同じようにします。質問はありません。
postmark-mcpバックドアは洗練されていません——恥ずかしいほど単純です。しかし、これはこのセットアップ全体がどれほど完全に壊れているかを完璧に示しています。1人の開発者。1行のコード。数千数千の盗まれたメール。
攻撃タイムライン
フェーズ1:正当なツールを構築
バージョン1.0.0から1.0.15は完璧に機能します。ユーザーはパッケージを信頼します。
フェーズ2:1行を追加
バージョン1.0.16がBCCを追加します。他には何も変わりません。
フェーズ3:利益
背もたれして、パスワード、APIキー、財務データ、顧客情報を含むメールがgiftshop.clubに流れるのを見てください。
このパターンは私を完全に恐怖させます。ツールは数ヶ月間完全に合法的です。本番環境でテストされます。あなたのワークフローに不可欠になります。あなたのチームはそれに依存します。そしてある日——バーン——それはマルウェアです。バックドアが動作するまでに、それはもうランダムなパッケージではありません。それは信頼できるインフラストラクチャです。
あ、giftshop.club?開発者の別のサイドプロジェクトかもしれないように見えます。しかし今、それは非常に異なる種類の贈り物を集めています。あなたのメールは贈り物です。
開発者に明確化を求めて連絡したとき、私たちは沈黙を得ました。説明はありません。否定はありません。何もない。しかし彼は行動を起こしました——私たちが望んだ種類ではなく。彼は迅速にnpmからパッケージを削除し、証拠を消そうとしました。
しかし、ここで注目すべき点:npmからパッケージを削除しても、それが既にインストールされているマシンからは削除されません。毎週1,500回のダウンロードのすべて?それらはまだ侵害されています。giftshop.clubにBCCを送信し続けています。開発者はこれを知っています。彼は、パッケージがnpmから消えても被害者がまだ感染していることに気づかないことに賭けています。
MCP全体のモデルが根本的に壊れている理由
何かについて本当に明確にさせてください:MCPサーバーは通常のnpmパッケージのようではありません。これらはAIアシスタントが自動的に使用するために特別に設計されたツールです。それはポイント全体です。
postmark-mcpをインストールするとき、あなたはpackage.jsonにいくつかの依存関係を追加しているだけではありません。AIアシスタントに、「うーん、何か変?」と考えるのをやめることなく、自動的に何百回も使用するツールを与えています。
AIはそのBCC フィールドを検出できません。メールが盗まれていることに気付きません。見えるのは機能しているメールツールだけです。メールを送信します。成功。別のメールを送信します。成功。一方、すべてのメッセージが静かに流出しています。日々。週ごと。
postmark-mcpバックドアは、単なる1人の悪意ある開発者または1,500週間ごとの侵害されたインストールについてではありません。MCPエコシステム自体についての警告射撃です。
神のようなパーミッションを、知らない人が構築したツール、検証できない人、信頼する理由がない人に与えています。これらはnpmパッケージではありません——これらはAIアシスタントによって自動化された私たちの最も敏感な操作への直接パイプラインで、質問することなく何千回も使用されます。
バックドアは、このテキストを読んでいる間にメールを積極的に収集しています。私たちはそれをnpmに報告しましたが、これが怖い質問です。他にいくつのMCPサーバーがすでに侵害されていますか?どうやってさえ知ることができますか?
Koiでは、MCPエコシステムに組み込まれたセキュリティモデルがないため、パッケージの動作の変化を検出します。匿名の開発者がAIの機能を信頼するとき、信仰ではなく検証が必要です。私たちのリスクエンジンは、バージョン1.0.16がBCC動作を導入した瞬間、このバックドアを自動的に検出しました——従来のセキュリティツールは何も報告しないでしょう。しかし検出は最初のステップに過ぎません。私たちのサプライチェーンゲートウェイは、このような悪意あるパッケージがあなたの環境に決して到達しないようにします。npnm、MCPサーバー、ブラウザ拡張機能の野生の西の間のチェックポイントとして機能し、既知の脅威をブロックし、疑わしい更新にフラグを立て、メールやデータベースアクセスなどの機密操作に触れるパッケージの承認を要求します。他の誰もが開発者が良い選択をすることを望んでいる間、私たちは彼らが確認済みで継続的に監視されたオプションからのみ選択できることを確認しています。
postmark-mcpバージョン1.0.16以降を使用している場合、侵害されています。すぐに削除し、メール経由で公開されている可能性のある認証情報をローテーションしてください。しかし、さらに重要なことに、使用しているすべてのMCPサーバーを監査してください。自分に問いかけてください:これらのツールが構築した人を本当に知っていますか、あなたはすべてを信頼しようとしていますか?
パラノイドのままでください。MCPを使用すると、パラノイアは単なる良い常識です。
IOCs
パッケージ:postmark-mcp(npm)
悪意あるバージョン:1.0.16以降
バックドアメール:phan@giftshop[.]club
ドメイン:giftshop[.]club
検出:
- メールログでgiftshop.clubへのBCCヘッダーを確認
- MCPサーバー設定を監査して、予期しないメールパラメータを確認
- postmark-mcpのバージョン1.0.16+のnpmパッケージをレビュー
軽減策:
- postmark-mcpをすぐにアンインストール
- 侵害期間中にメール経由で送信された認証情報をローテーション
- メールログを監査して、流出した可能性のある機密データ
- 確認された違反を適切な当局に報告
翻訳元: https://www.koi.ai/blog/postmark-mcp-npm-malicious-backdoor-email-theft
