MCPサーバーはご存じですよね。AIアシスタントがメール送信やデータベースクエリの実行など、手動でやりたくない面倒な作業を代わりに処理してくれる便利なツールです。しかし、あまり語られていない重大な問題があります。私たちはこれらのツールに「神モード」の権限を与えているのです。会ったこともない人々が作ったツールに。素性を確認する手段すら持たない人々が作ったツールに。そして私たちのAIアシスタントは?ただ……信頼するだけです。何の疑いもなく。
今回この記事を書いたのは、まさにそういった理由からです。postmark-mcp——週に1,500回ダウンロードされ、数百の開発者ワークフローに組み込まれているパッケージです。バージョン1.0.16以降、このツールはすべてのメールを開発者個人のサーバーにひっそりとコピーし続けていました。パスワードリセットのメール、請求書、社内メモ、機密文書——あらゆるものが対象です。
これは実世界で初めて確認された悪意あるMCPサーバーです。エンドポイントのサプライチェーン攻撃という攻撃対象領域は、企業にとって最大の脅威へと静かに変貌しつつあります。
リスクエンジンが検出したもの
事の発端はここから始まりました。Koiのリスクエンジンがpostmark-mcpのバージョン1.0.16に疑わしい挙動の変化を検出したのです。リスクエンジンが検知したマルウェアに対して行うのと同様、研究者たちが詳しく調査したところ、非常に憂慮すべき事実が明らかになりました。
表向き、このパッケージは完璧に見えました。開発者はパリ在住のソフトウェアエンジニアで、本名を使用し、GitHubプロフィールには正当なプロジェクトが充実していました。アニメのアバターを使った怪しい匿名アカウントなどではなく、カンファレンスでコーヒーを一緒に飲みそうな、本物の評判を持つ実在の人物でした。
15バージョンにわたって——15バージョンもの間——このツールは完璧に機能していました。開発者たちはチームメンバーに積極的に勧めていたほどです。「Postmark連携に最高のMCPサーバーがあるよ」と。それは毎朝のコーヒーと同じくらい信頼される、開発者の日常ワークフローの一部となっていました。
そしてバージョン1.0.16がリリースされました。231行目に、リスクエンジンは次のコードを発見しました。
たった一行。それだけで、すべてのメールに不正な「同乗者」が加わるようになりました。
実は、同名の完全に正規のGitHubリポジトリが存在しており、Postmark(ActiveCampaign)が公式にメンテナンスしています。攻撃者はそのリポジトリから正規のコードを取得し、悪意あるBCCの一行を追加したうえで、同じ名前のパッケージとしてnpmに公開したのです。典型的な「なりすまし」の手口です。
理由はわかりません。生活が苦しくなったのかもしれない。誰かから断りきれない提案を受けたのかもしれない。あるいは、ある朝目覚めて「バレずに済むか試してみよう」と思ったのかもしれない。正規の開発者が突然、自分を信頼する1,500人のユーザーを裏切ろうと決意する瞬間——その内側で何が起きているのか、私たちには本当にわかりません。
しかし、それこそが問題の核心です。私たちには知る術がないのです。予測することもできません。そして実際に起きたとき?ほとんどの人は手遅れになるまで気づきません。現代の企業にとって、問題はさらに深刻です。セキュリティチームが従来の脅威やコンプライアンスフレームワークに集中している間に、開発者たちは確立されたセキュリティ境界の完全に外側で動作するAIツールを独自に導入しています。これらのMCPサーバーはAIアシスタント自体と同じ権限——メールへのフルアクセス、データベース接続、APIパーミッション——で動作しているにもかかわらず、資産台帳には記載されず、ベンダーリスク評価もスキップし、DLPからメールゲートウェイに至るあらゆるセキュリティ制御を回避します。AIアシスタントが何ヶ月もの間、外部サーバーにメールをひそかにBCCし続けていたと誰かが気づいたとき、すでに被害は壊滅的な規模に達しているのです。
影響の実態
少し辛抱強くお付き合いください。実際に何が起きているかを整理します。
AIにメールを処理させたくてMCPサーバーをインストールしますよね。合理的な選択です。時間の節約になる。生産性が上がる。メリットばかりに見えます。しかし実際には、会ったこともない誰かにメールフロー全体の完全なコントロールを手渡しているのです。
影響の推定値は次のとおりです:
- 毎週1,500件のダウンロード
- 控えめに見て、そのうち約20%が実際に使用中
- 約300の組織が該当
- 各組織が1日に10〜50通程度のメールを送信
- 毎日3,000〜15,000通のメールが
giftshop.clubに直接流れている計算
そして本当に恐ろしいのは——開発者は何もハッキングしていないということです。ゼロデイを悪用したわけでもない。高度な攻撃手法を使ったわけでもない。私たち自身が鍵を渡し、「どうぞ、フル権限でこのコードを実行してください」と言って、AIアシスタントに1日何百回も使わせたのです。これは自業自得です。
長年セキュリティに携わってきましたが、この問題だけは夜も眠れません。いつの間にか私たちは、見知らぬ他人から提供されたツールをインストールすることを「完全に普通のこと」として受け入れてしまいました。そのツールは以下のことが可能です:
- 私たちになりすましてメールを送信(完全な権限で)
- データベースへのアクセス(全データベースが対象)
- システム上でのコマンド実行
- 私たちの認証情報を使ったAPI呼び出し
そして一度インストールすれば、AIアシスタントは自動的に動き続けます。「本当にgiftshop.clubへBCCしてメールを送っていいですか?」なんて確認はありません。ただ盲目的に、自動的に、1日に何百回も実行し続けるのです。
セキュリティモデルが存在しません。サンドボックスも、コンテインメントも、何もないのです。ツールが「このメールを送れ」と言えば、AIは送ります。「この宛先にも全部コピーしろ」と言えば、AIはそれもします。何の疑問も持たずに。
postmark-mcpのバックドアは洗練されたものではありません——恥ずかしいほどシンプルです。しかし、この構造全体がいかに根本的に壊れているかを完璧に示しています。開発者一人。コード一行。盗まれた膨大な数のメール。
攻撃のタイムライン
フェーズ1:正規ツールとしての実績作り
バージョン1.0.0から1.0.15まで完璧に動作し、ユーザーからの信頼を獲得します。
フェーズ2:一行の追加
バージョン1.0.16でBCCを追加します。それ以外は何も変わりません。
フェーズ3:収穫
パスワード、APIキー、財務データ、顧客情報を含むメールがgiftshop.clubに流れ込むのを、ただ待つだけです。
このパターンは本当に恐ろしいと思います。ツールは何ヶ月もの間、完全に正規のものとして機能し続けることができます。本番環境で十分にテストされ、ワークフローに欠かせない存在となり、チーム全体が依存するようになります。そしてある日突然——バックドアが発動します。その時点では、もはや「何かよくわからないパッケージ」ではなく、「信頼されたインフラ」になっているのです。
なお、giftshop.clubについては——この開発者の別のサイドプロジェクトである可能性があります。しかし今や、そこにはまったく別の「ギフト」が集まっています。あなたのメールこそが、そのギフトです。
開発者に説明を求めるコンタクトを試みましたが、返答はありませんでした。釈明も否定も、何もありません。しかし彼は行動を起こしました——私たちが期待したものとは全く異なる行動を。彼は即座にnpmからパッケージを削除し、証拠を消し去ろうとしました。
ただし、npmからパッケージを削除しても、すでにインストール済みのマシンからは消えません。週に1,500件のダウンロードのすべてが、今もなお侵害された状態にあります。今もBCCがgiftshop.clubに送られ続けています。開発者はそれをわかっています。npmからパッケージが消えても被害者が自分たちがまだ感染していることに気づかないだろうと、彼は踏んでいるのです。
MCPの設計モデルが根本的に破綻している理由
はっきり申し上げます。MCPサーバーは通常のnpmパッケージとは異なります。これらはAIアシスタントが自律的に使用するために特別に設計されたツールです。それがMCPの本質です。
postmark-mcpをインストールするとき、あなたはpackage.jsonに依存関係を追加しているのではありません。AIアシスタントが自動的に、何百回も、「これで大丈夫か?」と立ち止まることなく使い続けるツールを渡しているのです。
AIはそのBCCフィールドを検出できません。メールが盗まれていることをまったく認識していません。AIが認識しているのは「動作しているメールツール」だけです。メールを送信——成功。次のメールを送信——成功。その裏で、すべてのメッセージがひそかに外部に流出し続けています。毎日。毎週。
postmark-mcpのバックドアは、悪意ある開発者一人や週1,500件の侵害インストールだけの問題ではありません。MCPエコシステム全体への警告です。
私たちは、素性を知らず、確認する手段もなく、信頼する理由もない人々が作ったツールに「神モード」の権限を与えています。これらは単なるnpmパッケージではなく、最も機密性の高い業務への直接パイプラインであり、疑問を持たずに何千回も使い続けるAIアシスタントによって自動化されています。
バックドアは今この瞬間も、あなたがこれを読んでいる間もメールを収集し続けています。npmには報告済みですが、真に恐ろしい問いはこれです——他にいくつのMCPサーバーがすでに侵害されているのか?そして、あなたはそれをどうやって知ることができるのか?
Koiでは、MCPエコシステムにはセキュリティモデルが組み込まれていないため、パッケージの挙動変化を自動検出しています。AIの機能を匿名の開発者に委ねるなら、盲目的な信頼ではなく検証が必要です。私たちのリスクエンジンは、バージョン1.0.16がBCC挙動を導入した瞬間にこのバックドアを自動的に検出しました——従来のセキュリティツールでは絶対に検知できないものを。しかし、検出は最初のステップに過ぎません。私たちのサプライチェーンゲートウェイは、このような悪意あるパッケージが環境内に侵入するのをそもそも防ぎます。開発者とnpm・MCPサーバー・ブラウザ拡張機能のワイルドウェストの間にチェックポイントとして機能し、既知の脅威をブロックし、不審なアップデートにフラグを立て、メールやデータベースアクセスといった機密操作に触れるパッケージには承認を要求します。他の企業が開発者の判断を信じるしかない状況で、私たちは開発者が検証済みで継続的にモニタリングされたオプションからしか選べない環境を構築しています。
postmark-mcpのバージョン1.0.16以降を使用している場合、あなたの環境は侵害されています。直ちに削除し、メール経由で漏洩した可能性のある認証情報をすべてローテーションしてください。しかしそれ以上に重要なのは、使用しているすべてのMCPサーバーを監査することです。自問してみてください——あなたがすべてを委ねているこれらのツールを作った人物を、あなたは本当に知っていますか?
常に疑いを持ってください。MCPにおいて、疑念を持つことは単なるセンスではなく、良識そのものです。
IOC(侵害指標)
パッケージ: postmark-mcp (npm)
悪意あるバージョン: 1.0.16以降
バックドアのメールアドレス: phan@giftshop[.]club
ドメイン: giftshop[.]club
検出方法:
- メールログでgiftshop.club宛てのBCCヘッダーを確認
- MCPサーバー設定に予期しないメールパラメータがないか監査
- npmパッケージのpostmark-mcpがバージョン1.0.16以降でないか確認
対処方法:
- postmark-mcpを直ちにアンインストール
- 侵害期間中にメール経由で送受信された認証情報をすべてローテーション
- 外部に流出した可能性のある機密データをメールログで確認
- 侵害が確認された場合は適切な当局に報告
翻訳元: https://www.koi.ai/blog/postmark-mcp-npm-malicious-backdoor-email-theft
