出典:ImageFlow(Shutterstock経由)
モデルコンテキストプロトコル(MCP)エコシステムにおける2つの重大なリモートコード実行脆弱性が、AIの新たな基盤インフラとなりつつあるものに潜む隠れたリスクを明らかにしました。
Tenable社およびJFrog Security Researchによってそれぞれ報告されたこれらの欠陥は、開発者やエンドユーザーを、攻撃者が比較的容易にシステムを乗っ取り任意のコードを実行できる攻撃にさらしています。
AIの新たな(脆弱な)基盤
MCPは、Anthropicが開発したオープンソースの標準規格であり、AIモデルがデータベースやコンテンツリポジトリ、ツールなどのデータソースに安全に接続し、やり取りできるようにします。例えば、AnthropicのClaudeのようなAIモデルが、Slackからライブデータを取得したり、Jiraのチケットを更新したり、顧客データベースを照会したりすることを、クライアント-サーバーアーキテクチャを通じて標準的かつ安全な方法で実現します。
「MCPはAIアプリケーションのためのユニバーサルアダプターであり、物理デバイスにおけるUSB-Cのようなものです」と公式説明では述べられています。「USB-Cがさまざまな周辺機器やアクセサリーにデバイスを接続するユニバーサルアダプターであるように、MCPはAIアプリケーションを異なるデータやツールに接続する標準化された方法を提供します。」
TenableとJFrogが今週報告した脆弱性は、MCPエコシステムの異なるコンポーネントに影響を与えます。
Tenableが発見した脆弱性、CVE-2025-49596は、AnthropicのMCP InspectorというMCPサーバーのテストやデバッグ用オープンソースツールに影響します。MCPサーバーは基本的にAIモデルと接続先のデータソースの間の中間レイヤーのような役割を果たします。数を追跡しているサイトによると、世界中で約5,000台のMCPサーバーがあり、さまざまなユースケースで組織がAIモデルと統合できるようになっています。残念ながら、これらの多くは設定ミスやその他の理由で安全でないため、利用する組織は攻撃リスクが高まっています。
重大なRCEセキュリティバグ
CVE-2025-49596は、共通脆弱性評価システム(CVSS)の深刻度スケールで9.4というクリティカルな評価を受けており、MCP Inspectorのプロキシサーバーコンポーネントが、認証やオリジン検証なしに任意のIPアドレスからの接続を受け入れてしまうことに起因します。これによりネットワーク上、場合によってはインターネット上のどこからでもアクセス可能になります。この脆弱性はバージョン0.14.1未満のMCP Inspectorに影響します。Anthropicはこの脆弱性に対する修正を公開し、セッショントークン認証とオリジン検証を追加して脅威を軽減しています。
TenableのスタッフリサーチエンジニアであるRémy Marot氏によれば、主な悪用シナリオは2つあります。攻撃者がプロキシインスタンスをホストしているマシンと同じネットワーク上にいる場合、直接悪意のあるコマンドを注入できます。また、攻撃者は悪意のあるウェブページ経由で細工したHTTPリクエストを送信し、プロキシに任意のコードを開発者のマシン上で実行させることも可能です。
「攻撃チェーンは、攻撃者が悪意のあるJavaScriptをホストしたウェブサイトを作成し、クロスサイトリクエストを実行することから始まります」とMarot氏は述べています。「脆弱なバージョンのMCP Inspectorを使用している開発者がこの悪意のあるウェブサイトにアクセスすると、悪意のあるスクリプトが実行され、開発者のワークステーションが完全に侵害されます。」
一方、JFrogが発見した脆弱性、CVE-2025-6514は、オープンソースのmcp-remoteプロジェクトに影響するコマンドインジェクションの問題です。JFrogによれば、「mcp-remoteは、Claude Desktopのような大規模言語モデル(LLM)ホストが、ローカルMCPサーバーとの通信しかネイティブにサポートしていなくても、リモートMCPサーバーと通信できるようにするプロキシです。」
CVSSスコア9.6のCVE-2025-6514は、mcp-remoteを実行しているクライアント上でOSコマンドインジェクションを可能にする、クリティカルな不適切なサニタイズの問題です。この脆弱性はmcp-remoteのバージョン0.0.5から0.1.15に存在します。
「影響を受けるバージョンのmcp-remoteを使用し、不正または安全でないMCPサーバーに接続しているすべてのユーザーがこの攻撃の対象となります」とJFrogは述べています。同社は、影響を受ける組織に対し、mcp-remoteをバージョン0.1.16にアップデートし、信頼できるMCPサーバーにのみHTTPS経由で接続するよう強く推奨しています。
MCPの普及がセキュリティを上回るペースに
JFrogのセキュリティリサーチ担当副社長であるShachar Menashe氏は、すでにローカルネットワーク上にいる攻撃者は、比較的容易に中間者(MITM)攻撃を利用してLANトラフィックを傍受し、誰かが脆弱なエンドポイントにHTTPリクエストを送っていないかを確認し、悪意のあるレスポンスを注入できると述べています。リモートでこの脆弱性を悪用するのはより困難ですが、攻撃者が被害者がmcp-remoteを使用していることを知っていれば可能です。彼によれば、リモート攻撃者が細工したデータをMCPクライアントに送り、システムを乗っ取るシナリオも考えられます。
GitGuardianのプロダクトマーケティングマネージャーであるSoujanya Ain氏は、MCPの急速な普及が、エージェンティックAI機能を実現しようとする組織のセキュリティ体制を上回っていると指摘します。「MCPサーバーはエージェンティックなワークフローの基盤であり、すでに5,000台以上がSmithery.aiのようなパブリックレジストリに公開されています」とAin氏は述べています。
彼女は、GitGuardianが最近実施した調査を挙げ、これらのサーバーの5.2%が少なくとも1つのシークレット情報を漏洩していることを示しています。これは、全GitHubリポジトリの4.6%という基準値よりも顕著に高い数字です。「これらの漏洩には、ベアラートークンやX-API-Keysのような高リスクな認証情報が含まれており、これらが侵害されるとラテラルムーブメントやクラウドアクセス、データ流出が可能になります」と彼女は述べています。
このような事態が発生している主な理由は、組織が明確なポリシーやセキュリティガードレールなしにMCPの導入を急いでいるためです。MCPプロトコルの急速な普及は、ツールスクワッティング、プロンプトインジェクション、設定ミスによるローカルMCPサーバー経由の権限昇格など、新たな攻撃ベクトルを生み出しています。
「LLMは人間の監督なしにこれらのツールをオーケストレーションできるため、侵害されたエージェントはファイルの読み取り、APIの呼び出し、インフラ変更のトリガーなどのアクションを、誰にも気付かれずに連鎖的に実行できてしまいます」とAin氏は述べています。
Ain氏はまた、セキュリティチームがMCPサーバーをインフラとしてまだ認識していないため、大きな死角が生まれていると指摘します。「すべてのインフラと同様に、MCPサーバーにも堅牢なインターフェース、範囲を限定した認証情報、監査証跡、そして何よりもアイデンティティ認識型のアクセス制御ポリシーが必要です。」
翻訳元: https://www.darkreading.com/application-security/agentic-ai-risky-mcp-backbone-attack-vectors