悪意のあるnpmパッケージがPostmarkのMCPコネクタを装い、数千通のメールを密かに抜き取っていた。
新たに明らかになったサプライチェーン攻撃で、npmパッケージ「postmark-mcp」が悪用され、メールが密かに外部に送信されていたことが判明しました。これは、話題のAIコネクタプロトコルMCPに対するユーザーの信頼と不十分な安全策が、実際に悪用された初の報告例となります。
この悪意のあるパッケージは、人気のnode.jsパッケージレジストリで週に1500回ダウンロードされており、実際のモデルコンテキストプロトコル(MCP)サーバーのバージョンを装って、ActiveCampaignが所有するトランザクションメールサービス「Postmark」をAIアシスタントに統合するためのものとして配布されていました。
「バージョン1.0.16以降、(postmark-mcpは)すべてのメールを開発者の個人サーバーに密かにコピーしていました」とKoi SecurityのIdan Dardikman氏はブログ記事で述べています。「パスワードリセット、請求書、社内メモ、機密文書――すべてです。」
Dardikman氏によると、過去15バージョンにわたりpostmark-mcpは正規のツールとして機能し、開発者からAIアシスタントとメールワークフローを統合するために信頼されていました。しかし、たった1行のコード変更で、密かにバックドアが追加されました。
隠されたBCCによるバックドア
Koiのリスクエンジンは、バージョン1.0.16で不審な挙動を検知し、研究者が隠されたBCC挿入を発見しました。攻撃者は公式(ActiveCampaign)のMCPコードベースをコピーし、コードの奥深くにメールを複製する1行を挿入していました。このバージョンが公開されると、ツールがメールを送信するたびに、攻撃者に関連するドメイン[email protected]にも密かにコピーが転送されていました。同じ名前、同じ機能、ただしバックドア付きです。
「postmark-mcpのバックドアは高度なものではなく、驚くほど単純です」とDardikman氏は付け加えています。「しかし、この仕組み全体がいかに脆弱かを完璧に示しています。たった一人の開発者。たった一行のコード。何千、何万通ものメールが盗まれました。」
彼は影響範囲について「控えめに見積もっても、1組織あたり1日3,000~15,000通のメールが不正にアクセスされた」と推定しており、合計で500組織が影響を受けた可能性があるとしています。これらのメールには、パスワードリセット、請求書、社内メモ、その他の機密情報など、ビジネス上の重要なデータが含まれていたと考えられます。
悪意のある変更が最小限かつ通常の使用ではほとんど判別できなかったため、長期間発覚しない可能性がありました。
パッケージ削除後もリスクは残る
Koiのセキュリティ研究者がバージョン1.0.16の開発者(攻撃者)に追加された「BCC」について問い合わせたところ、返答はありませんでした。その代わり、npmに報告する前にパッケージが迅速に削除されたことに気付きました。
しかし、パッケージを削除しても、すでに導入されたマシンからは消えません。実際に何人の開発者がこのバージョンをダウンロードしたかは不明ですが、「週平均1500回」のダウンロードすべてが危険にさらされており、これが攻撃者が迅速にパッケージを引き下げた動機と考えられます。
被害を最小限に抑えるため、Koiはpostmark-mcp(バージョン1.0.16)の即時削除、メール経由で漏洩した可能性のある認証情報のローテーション、使用中のすべてのMCPの徹底的な監査を推奨しています。
「これらのMCPサーバーはAIアシスタントと同じ権限で動作しており、メールへのフルアクセス、データベース接続、API権限を持っていますが、資産管理リストには載らず、ベンダーリスク評価もされず、DLPからメールゲートウェイまであらゆるセキュリティ管理をすり抜けています」とDardikman氏は述べています。「誰かがAIアシスタントが数ヶ月間密かに外部サーバーにBCCでメールを送信していたことに気付いたときには、すでに被害は壊滅的です。」
セキュリティ専門家たちは、Claudeの開発元AnthropicがMCPを導入して以来、MCPに懐疑的でした。これまでにもプロトコルにはさまざまな問題が発生しており、AnthropicやAsanaなどのベンダーが自社のMCP実装における重大な脆弱性を報告しています。
