数千台のMCPサーバーにファイルアクセスやインジェクション攻撃を許す脆弱性が発覚

大規模言語モデル(LLM)を外部システムに接続する目的で広く利用されているModel Context Protocol(MCP)サーバーのうち、数千台に深刻なセキュリティ上の欠陥が見つかりました。任意のファイルアクセス、コマンドインジェクション、サーバーサイドリクエストフォージェリ(SSRF)、SQLインジェクションなどが確認されており、AIサプライチェーンのセキュリティに対する懸念が強まっています。

GitHub、Glama、Lobehub、PulseMCPといった主要ディレクトリに登録された9,695台のMCPサーバーを対象とした大規模調査により、人気度やリポジトリの活発さ、認証済みバッジといった一般に信頼される指標が、セキュリティ対策の実態を必ずしも反映していないことが明らかになりました。MCPの導入が加速する中、組織は構造的なリスクにさらされていることになります。

数千台のMCPサーバーに脆弱性を確認

今回の調査では、5,832台のサーバーにセキュリティ上の問題が見つかり、そのうち2,259台については単純な認証の欠如にとどまらない、悪用可能な脆弱性の存在が確認されました。

調査全体で4,982件の個別のセキュリティ問題が確認されており、内訳は任意のファイルアクセスが880件、コマンドインジェクションの欠陥が476件、SSRF脆弱性が422件、SQLインジェクションの問題が211件、サービス拒否(DoS)につながる弱点が490件となっています。

そのほか、クロスサイトスクリプティング(155件)、認可の回避、悪意ある挙動に分類されるプロンプトインジェクション(185件)も確認されました。特筆すべきは、2,054台のサーバーで認証機構が存在しなかった点です。この点自体は単独の脆弱性として計上されていないものの、他の脆弱性と組み合わさることで被害を大きく増幅させる要因となります。

セキュリティ上の問題 分類 件数
コードインジェクション 設計上の脆弱性 101
認証の欠如 設計上の脆弱性 2,054
コマンドインジェクション 脆弱性 476
任意のファイルアクセス 脆弱性 880
SSRF 脆弱性 422
サービス拒否 脆弱性 490
クロスサイトスクリプティング 脆弱性 155
SQLインジェクション 脆弱性 211
認可バイパス 脆弱性 8
プロンプトインジェクション 悪意ある挙動 185

MCPサーバーは、AIエージェントとファイルシステム、データベース、API、クラウド環境といった機密性の高いリソースとを結ぶ重要な橋渡し役を担っており、「エージェント型ワークフロー」がコードを実行しタスクを自動化することを可能にしています。しかし、この特権的なアクセス権限は同時に攻撃対象領域(アタックサーフェス)を拡大させることにもなります。

今回の調査では、複数の脆弱性が同時に発生するケースが頻繁に見られました。たとえば任意のファイルアクセスと認証の欠如が組み合わさっているパターンは、個別のコーディングミスというよりも、入力値検証や安全な設計手法における構造的な失敗を浮き彫りにしています。

Image

一般的な思い込みとは裏腹に、今回の分析ではサーバーの人気度とセキュリティレベルとの間に意味のある相関関係は見られませんでした。人気の高いサーバー(GitHubスター50個以上)は、広く採用されていることでかえって最大級のリスクをはらんでおり、単一の脆弱性がもたらす被害の範囲(ブラストラディウス)を拡大させています。

こうした人気サーバーでは、機能が豊富な統合機能に起因するSSRF、プロンプトインジェクション、ファイルアクセスの欠陥がよく見られます。中間層のサーバー(スター10~49個)はエコシステム内で数量的に最多を占め、脆弱性の種類も最も多様であることが分かりました。一方、人気が低い、あるいはスターが1つも付いていないリポジトリは、実験的または個人利用目的であることが多いものの、可視性が限られているにもかかわらず、コード実行の欠陥といった深刻な問題を抱えているケースが依然として存在します。

同様に、コミット履歴で測定したリポジトリの活発さも、セキュリティの向上を示す指標にはなりませんでした。コミット数が100件を超える活発なプロジェクトでも、活動量の少ないプロジェクトと同程度の脆弱性発生率を示しており、開発の複雑さが増すことで攻撃経路が増える一方、防御対策の改善には必ずしもつながっていないことが示唆されます。

コード検査ツールや所有権の検証といった、MCPディレクトリが導入している認証済み(verified)の仕組みでさえ、リスクを大きく低減させてはいませんでした。認証済みサーバーの平均脆弱性件数は、未認証サーバーとほぼ変わらない水準だったのです。

Trend AI Securityの調査では、複数の分野にまたがる実際のリスクシナリオも明らかにしています。暗号資産やDeFi向けのMCPサーバーでは、リモートコード実行を可能にするサーバーサイドテンプレートインジェクションの脆弱性や、AIエージェントの挙動を操作し得るプロンプトインジェクションの欠陥が確認されました。

企業環境においては、データベース接続用に設計されたMCPサーバーでSQLインジェクションの脆弱性や、認証を伴わないActive Directoryクエリが見つかっています。これにより、攻撃者がAIシステムを介した自然言語クエリを通じて偵察を行ったり、権限を昇格させたりできる可能性があります。

とりわけ懸念されるのは、「重大度加重リーチ(severity-weighted reach)」とも言うべき現象の発生です。複数の脆弱性を抱えた人気サーバーは、その広範な導入状況ゆえに、不釣り合いなほど大きな構造的リスクをもたらします。多数のMCPツールを公開しているサーバーはさらに攻撃対象領域を広げ、共有のAIインフラに依存する組織全体にわたって、悪用の規模と影響を拡大させる要因となります。

今回の調査は、より広範な業界全体の課題を浮き彫りにしています。それは、MCPエコシステム全体を通じて、一貫した入力値検証や安全な開発手法が徹底されていないという問題です。確認された脆弱性のほとんどは、意図的な悪意ある挙動ではなく、開発者に起因する欠陥に分類されています。ただし、プロンプトインジェクションは、LLMを統合した環境における新たな脅威ベクトルとして依然として警戒が必要です。

セキュリティ専門家は、サードパーティ製のMCPサーバーを統合する組織に対し、信頼を前提とした思い込みを捨て、ゼロトラストのアプローチを採用するよう警鐘を鳴らしています。

具体的には、コード監査の実施、認証と最小権限の原則の徹底、すべての入力値の検証、そして異常な挙動を検知するためのリアルタイムなトラフィック検査の導入が求められます。MCPがAI駆動の自動化の進化を支え続ける中、今回の調査結果は、相互接続されたAIシステムの大規模な悪用を防ぐために、セキュリティが機能面の進化と歩調を合わせて発展していかなければならないことを強調しています。

Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN

翻訳元: https://gbhackers.com/thousands-of-mcp-servers-found-vulnerable/

ソース: gbhackers.com