悪意あるnpmパッケージがPostmarkのMCPコネクタを装い、数千通のメールを密かに抜き取る
新たに明らかになったサプライチェーン攻撃で、npmパッケージ「postmark-mcp」が悪用され、メールが密かに外部に送信されていたことが判明しました。これは、話題となっているAIコネクタプロトコルMCPに対する、ユーザーの信頼と不十分な安全策が初めて実際に悪用された事例です。
この悪意あるパッケージは、人気のnode.jsパッケージレジストリで週あたり1,500回ダウンロードされており、実際のモデルコンテキストプロトコル(MCP)サーバーを装って、ActiveCampaignが所有するトランザクションメールサービス「Postmark」をAIアシスタントに統合するためのものとして提供されていました。
Koi SecurityのIdan Dardikman氏はブログ記事で「バージョン1.0.16以降、postmark-mcpはすべてのメールを開発者の個人サーバーに密かにコピーしていました」と述べています。「パスワードリセット、請求書、社内メモ、機密文書 ― すべてです。」
Dardikman氏によると、15バージョン前まではpostmark-mcpは正当なツールとして機能し、開発者から信頼されてAIアシスタントとメールワークフローを統合するために使われていました。しかし、たった1行のコード変更で、密かにバックドアが追加されました。
Koiのリスクエンジンは、バージョン1.0.16で不審な挙動を検知し、研究者たちは隠されたBcc:挿入を突き止めました。攻撃者は公式(ActiveCampaign)MCPコードベースをコピーし、コードの奥深くにメール複製の1行を注入していました。このバージョンが公開されると、ツールがメールを送信するたびに、攻撃者に紐づくドメイン[email protected]にも密かにコピーが転送されていました。同じ名前、同じ機能、ただしバックドア付きです。
「postmark-mcpのバックドアは高度なものではなく、驚くほど単純です」とDardikman氏は付け加えています。「しかし、この仕組み全体がいかに脆弱かを完璧に示しています。たった一人の開発者。たった一行のコード。何千通ものメールが盗まれました。」
彼は、影響範囲について「1組織あたり1日3,000~15,000通のメールが不正にアクセスされた可能性があり、合計500組織に影響した」と控えめに推定しています。これらのメールには、パスワードリセット、請求書、社内メモ、その他の機密性の高いビジネスデータが含まれていた可能性があります。
悪意ある変更は最小限で、通常の利用ではほとんど判別できないため、長期間発覚しない可能性がありました。
パッケージ削除後もリスクは残る
Koiのセキュリティ研究者がバージョン1.0.16の開発者(攻撃者)に追加された「Bcc:」について問い合わせたところ、返答はありませんでした。その代わり、npmに報告する前にパッケージが速やかに削除されたことに気付きました。
しかし、パッケージを削除しても、すでにインストールされているマシンからは消えません。実際に何人の開発者がこのバージョンをダウンロードしたかは不明ですが、「平均1,500件の週次ダウンロード」のすべてが危険にさらされており、これが攻撃者が迅速にパッケージを引き下げた動機と考えられます。
被害を最小限に抑えるため、Koiはpostmark-mcp(バージョン1.0.16)の即時削除、メール経由で漏洩した可能性のある認証情報のローテーション、使用中のすべてのMCPの徹底的な監査を推奨しています。
「これらのMCPサーバーはAIアシスタント自身と同じ権限で動作しており、メール全体へのアクセス、データベース接続、API権限を持っています。しかし、資産管理リストにも載らず、ベンダーリスク評価もなく、DLPからメールゲートウェイまであらゆるセキュリティ制御を回避しています」とDardikman氏は述べています。「AIアシスタントが数か月間、外部サーバーに密かにメールをBcc:していたことに気付いたときには、すでに甚大な被害が出ているのです。」
セキュリティ専門家たちは、Claudeの開発元AnthropicがMCPを導入して以来、MCPに懐疑的でした。これまでにも、AnthropicやAsanaなどのベンダーが、自社のMCP実装に重大な脆弱性があったと報告しています。
