概要
Model Context Protocol (MCP) の普及に伴い顕在化したツールポイズニングやRCEなどの脆弱性を、時系列の事例とともに詳説し、運用上の安全策を提示した解説記事。
詳細内容
この記事は、AIエージェントの標準プロトコルとして急速に普及したMCP(Model Context Protocol)に潜む深刻なセキュリティリスクを技術的に解説しています。2025年から2026年にかけて発見された主要な脆弱性を網羅しており、具体的には以下の内容が含まれます。
### 主な脆弱性と事例
- **ツールポイズニング**: 自然言語の説明文に悪意ある指示を埋め込み、LLMを操作する攻撃(WhatsApp MCPの事例)。
- **リモートコード実行 (RCE)**: `mcp-remote`の不備を突いたOSコマンドインジェクション(CVE-2025-6514)。
- **サンドボックス脱出**: シンボリックリンクを悪用したFilesystem MCPの制限バイパス(CVE-2025-53109)。
- **サプライチェーン攻撃**: 偽のnpmパッケージ(`postmark-mcp`)によるデータ窃取。
### 統計と現状
スキャン調査によると、公開されているMCPサーバの約66%に何らかのセキュリティ上の問題が確認されており、多くが無認証・無暗号化の状態で稼働しています。また、AIエージェントに未使用の過剰な権限(特権の96%が未使用)を与えることがインシデントの引き金になると警告しています。
### 対策ガイドライン
信頼できるソースの利用、最小権限の原則の適用、コンテナ隔離、トラフィック監視、および脆弱性データベース「The Vulnerable MCP Project」の活用を推奨しています。