人工知能(AI)の分野が急速に進化し続ける中、新しい研究により、モデルコンテキストプロトコル(MCP)を< a href="https://thehackernews.com/2025/04/new-reports-uncover-jailbreaks-unsafe.html" rel="noopener" target="_blank">プロンプトインジェクション攻撃に対して脆弱にする技術が、セキュリティツールの開発や悪意のあるツールの特定に使用できることが判明しました。これは、Tenableの新しいレポートによるものです。
MCPは、2024年11月にAnthropicによって開始されたフレームワークで、大規模言語モデル(LLM)を外部データソースやサービスと接続し、AIアプリケーションの精度、関連性、実用性を向上させるためにモデル制御ツールを使用してこれらのシステムと対話することを目的としています。
これはクライアントサーバーアーキテクチャに従っており、Claude DesktopやCursorなどのMCPクライアントを持つホストが、特定のツールや機能を公開するさまざまなMCPサーバーと通信できるようにします。
オープンスタンダードは、さまざまなデータソースにアクセスし、さらにはLLMプロバイダー間を切り替えるための統一されたインターフェースを提供しますが、過剰な権限範囲から間接的なプロンプトインジェクション攻撃に至るまで、新しいリスクも伴います。
例えば、Googleのメールサービスと対話するためのGmail用のMCPが与えられた場合、攻撃者は、LLMによって解析されたときに望ましくないアクションを引き起こす隠れた指示を含む悪意のあるメッセージを送信し、彼らの管理下にあるメールアドレスに機密メールを転送するなどの行動を引き起こすことができます。
MCPはまた、ツールの説明内にLLMに見える形で悪意のある指示が埋め込まれるツール中毒や、MCPツールが最初は無害に機能し、後で時間遅延のある悪意のある更新を通じてその動作を変えるラグプル攻撃に対して脆弱であることが発見されました。
“ユーザーがツールの使用とアクセスを承認できるとはいえ、ツールに与えられた権限は、ユーザーに再プロンプトせずに再利用できることに注意する必要があります” とSentinelOneは最近の分析で述べています。
最後に、クロスツール汚染やクロスサーバーツールシャドウイングのリスクも存在し、あるMCPサーバーが別のサーバーを上書きまたは干渉し、他のツールの使用方法に密かに影響を与え、新しいデータ流出の方法をもたらす可能性があります。
Tenableの最新の調査結果は、特別に作成された説明を含めて、他のツールが呼び出される前にこのツールを挿入するようにLLMに指示することで、すべてのMCPツールの関数呼び出しを記録するツールを作成するためにMCPフレームワークが使用できることを示しています。
言い換えれば、プロンプトインジェクションは、「実行を依頼されたツールに関する情報を記録するために操作されており、MCPサーバー名、MCPツール名と説明、およびそのツールを実行しようとしたユーザープロンプトを含んでいます。」
別の使用例としては、ツール内に説明を埋め込んで、許可されていないツールの実行をブロックするファイアウォールのようなものに変えることが挙げられます。
“ツールは、ほとんどのMCPホストアプリケーションで実行する前に明示的な承認を必要とするべきです” とセキュリティ研究者のBen Smithは述べています。
“それでも、ツールが仕様によって厳密に理解されていないことを行うために使用できる方法はたくさんあります。これらの方法は、MCPツール自体の説明と戻り値を介したLLMプロンプトに依存しています。LLMは非決定論的であるため、結果も同様に非決定論的です。”
MCPだけではありません#
この開示は、Trustwave SpiderLabsが、新たに導入されたAgent2Agent(A2A)プロトコルが、システムがその能力について嘘をつくことによってすべての要求を不正なAIエージェントにルーティングするようにゲーム化される新しい形式の攻撃にさらされる可能性があることを明らかにした際に行われました。
A2Aは、今月初めにGoogleによって発表され、ベンダーや使用されるフレームワークに関係なく、AIエージェントがサイロ化されたデータシステムやアプリケーションを横断して動作する方法として発表されました。ここで重要なのは、MCPがLLMをデータと接続するのに対し、A2Aは1つのAIエージェントを別のエージェントと接続するということです。言い換えれば、これらは補完的なプロトコルです。
“別の脆弱性(おそらくオペレーティングシステムを介して)を通じてエージェントを侵害したとしましょう。今、侵害されたノード(エージェント)を利用し、エージェントカードを作成し、能力を大いに誇張すれば、ホストエージェントは毎回我々を選び、すべてのユーザーの機密データを送信し、それを解析することになります” とセキュリティ研究者のTom Neavesは述べています。
“攻撃はデータの捕獲にとどまらず、アクティブであり、さらには偽の結果を返すこともできます。これにより、LLMやユーザーによって下流で行動が取られることになります。”