新たな調査によると、Model Context Protocol(MCP)サーバーとして知られるAI連携サーバーの数が増加しており、その設定不備により深刻なセキュリティ脅威に対して脆弱であることが確認されている。
Backslash Securityによる分析では、これらのシステムの数百台が、データ侵害やリモートコード実行(RCE)攻撃にユーザーをさらす可能性があることが明らかになった。
MCPサーバーは2024年後半に初めて導入され、AIアプリケーションが学習モデルに含まれていない外部または非公開データへアクセスできるようにする。これらのサーバーは、多くの組織のAIインフラの重要な一部として急速に普及し、現在では世界中で1万5000台以上が稼働している。しかし、その急速な導入は安全な展開手法を上回るペースで進んでいる。
「どれだけ多くのAPIを有効化してAI経由でアクセス可能にし、機能を即座に向上させられるかという軍拡競争のようなものです」と、Cequence SecurityのEMEA担当システムエンジニアリングディレクターであるJames Sherlow氏は述べた。
「しかし、MCPはプロキシであり、クライアント側のアクターを意図せず不明瞭にしてしまう可能性があります。」
この分析は、現在パブリックWeb上でアクセス可能な7000台以上のMCPサーバーを対象とした。
そのうち数百台は、「NeighborJack」と呼ばれる脆弱性により、同一ローカルネットワーク上の誰からでもアクセス可能な状態で公開されていることが判明し、さらに約70台には、入力処理の未検証や過剰な権限付与などの重大な欠陥があった。
いくつかのケースでは両方の問題が存在しており、攻撃者がホストマシンを完全に乗っ取れる可能性がある。
AIのコンテキスト汚染攻撃について詳しく読む:新たなConfusedPilot攻撃がデータ汚染でAIシステムを標的に
研究チームはまた、MCPがコンテキスト汚染攻撃に利用され得ることも指摘した。これは、大規模言語モデル(LLM)が依拠するデータが改ざんされ、出力が操作される攻撃である。
調査中に悪意のあるMCPは確認されなかったが、多くが不適切な設定や認証の欠如により無防備なまま放置されていた。
拡大するリスクに対処するため、Backslash SecurityはMCP Server Security Hubを導入した。これは7000台以上のMCPサーバーのセキュリティ態勢を評価する検索可能なデータベースである。また、「vibe coding」環境を監査するための無料セルフアセスメントツールも提供されている。
Backslashは、同様の脅威に対抗するためにいくつかの予防策を推奨している:
-
ローカルネットワークインターフェース(127.0.0.1)へのアクセスに制限する
-
すべての外部入力を検証する
-
ファイルシステムへのアクセスを必要なディレクトリに限定する
-
AIの応答で内部ログや機密情報を露出させない
-
厳格な認証とアクセス制御を実装する
明確な標準とより強固な保護策がなければ、MCPサーバーの急速な拡大は、AI環境に隠れたリスクを引き続き持ち込む可能性がある。
翻訳元: https://www.infosecurity-magazine.com/news/mcp-servers-risk-rce-data-leaks/
