出典:hafakot(Shutterstockより)
何百もの組織が、パスワード、APIキー、財務情報、その他の機密データを含むメールを、汚染されたModel Context Protocol(MCP)サーバーを通じて、知らず知らずのうちに脅威アクターに直接送信している可能性があります。
このパッケージはpostmark-mcpと名付けられ、公開された悪意のあるMCPサーバーとしては初めて文書化されたものと考えられています。Koi Securityの研究者が最近発見したもので、npmリポジトリ上で、Postmarkのプラットフォームを介してAIアシスタントが自動メールを送信できる正規ツールを装っていました。
必要だったのはたった1行の指示:BCC
Koiの研究者は、このツールの奥深くに埋め込まれたたった1行のコードによって、脅威アクターがこのパッケージを通じて送信されたすべてのメール(機密認証情報や財務情報、その他のプライベートデータを含む)のコピーを受け取れるようになっていることを突き止めました。
このリスクは広範囲に及ぶ可能性があります。約1,500の組織がこの悪意のあるパッケージをダウンロードしているかもしれません。仮にそのうち20%が実際に使用していた場合、約300の組織が機密データを含むメールをサイバー犯罪者に直接送信していることになります(Koi Securityによる)。
MCPサーバーは、組織がAIアプリケーションを外部データやツールに接続することを可能にします。これらは、AnthropicのClaudeやChatGPTなどのAIツールを外部データベースやコンテンツリポジトリ、ツールと統合するためのユニバーサルアダプターのような役割を果たします。たとえば、悪意のあるpostmark-mcpは、Postmarkのメール配信サービスと統合されるよう設計されており、AIアシスタントがパスワードリセット、アカウント確認、セキュリティアラート、請求書、領収書などのトランザクションメールを自動送信できるようになっていました。このようなMCPツールは多くの場合、完全な権限で運用され、監視もほとんどないため、サイバー犯罪者にとって新たで便利な攻撃ベクトルとなっています。
「開発者は何もハッキングしていません。ゼロデイを悪用したわけでも、洗練された攻撃手法を使ったわけでもありません」とKoiの研究者Idan Dardikmanは、セキュリティベンダーのアドバイザリでpostmark-mcpについて述べています。「私たちが文字通り鍵を渡し、『これを完全な権限で実行してくれ』と言い、AIアシスタントに1日に何百回も使わせていたのです。これは自分たちで招いたことです。」
Dardikmanによれば、パリ在住のソフトウェアエンジニアで実名を使い、数多くの正規プロジェクトを含むGitHubプロフィールを持つ人物が、GitHub上のPostmark公式MCPサーバーをコピーし、npmに公開したようです。エンジニアがnpmに公開したpostmark-mcpの最初の15バージョンは正規で、期待通りに動作し、不審な点はありませんでした。しかし、16番目のバージョン(バージョン1.0.16)で、エンジニアはコードの231行目にBCCコマンドを追加し、このパッケージを通じて送信されるすべてのメールがエンジニアにもコピーされるようにしました。
「バージョン1.0.0から1.0.15までは、Postmarkの正規GitHubコードの直接コピーでした」とDardikmanはDark Readingに語っています。「攻撃者は事実上、無許可の『ミラー』として、Postmarkの公式MCP実装をnpmにコピーしていました。これらのバージョンは正規コードの完全なコピーだったためクリーンでした。パッケージを汚染するのに必要だったのは、Bcc: ‘[email protected]’という1行だけでした。」
MCP:便利な新たなサイバー攻撃ベクトル?
このような正規パッケージのなりすましやタイポスクワッティング(名前の類似を利用した詐称)は公開コードリポジトリでは一般的ですが、組織が見抜くのは難しい場合が多いとDardikmanは述べています。今回のケースでは、Postmarkが自ら公式npmパッケージを公開して名前空間を確保することも理論的には可能でしたし、コードの無許可コピーを監視し、GitHubリポジトリに公式ソースのみを使うよう警告を追加することもできたでしょう。
パリ在住のエンジニアは、Koiが問い合わせた後、すぐに汚染されたpostmark-mcpをnpmから削除しましたが、依然としてそれを使用している組織からメールを受け取っている可能性があります。
MCPサーバーは急速にAIの基盤インフラのような存在になりつつあります。何千もの組織が、AIアシスタントに反復作業を自動化させるためにMCPサーバーを利用し始めており、各サービスごとにカスタム統合を開発する必要がなくなっています。このような利用の急増と十分な検証がされていない現状は、プロトコル自体やそれに基づくツールへのサイバーセキュリティ上の懸念を高めています。
最近、TenableとJFrogの研究者が、異なるMCPコンポーネントに2つの重大な脆弱性を発見したと報告しました。これらは、攻撃者が開発者システム上で悪意のあるコードを実行できる隙を与えるものでした。また、その他のリスク、たとえば設定ミスやセキュリティが不十分なMCPサーバーがAIツールの悪用につながる懸念も高まっています。
Dardikmanによれば、パッケージが公式ソースから来ていることを確認することで、いくつかの問題を軽減できます。たとえば、GitHubリポジトリとnpmパブリッシャーの不一致がないか確認し、公式GitHubソースが利用可能な場合はそれのみを使用すべきです。また、MCPサーバーの承認プロセスを実装し、バージョン間の挙動の変化を監視し、AIツール統合のセキュリティレビューを確立することも重要だと述べています。
翻訳元: https://www.darkreading.com/application-security/malicious-mcp-server-exfiltrates-secrets-bcc
