レポート 5575
モデルコンテキストプロトコル(MCP)エコシステムにおける2つの重大なリモートコード実行脆弱性は、急速にAIの新たな基幹インフラとなりつつあるMCPに潜む隠れたリスクを露呈しました。
TenableとJFrog Security Researchがそれぞれ報告したこれらの脆弱性は、開発者とエンドユーザーを攻撃にさら�し、攻撃者が比較的容易にシステムを乗っ取り、任意のコードを実行できる可能性があります。
AIの新たな(脆弱な)配管
MCPは、Anthropicが開発したオープンソース標準であり、AIモデルがデータベース、コンテンツリポジトリ、ツールなどのデータソースに安全に接続し、やり取りするためのものです。これにより、AnthropicのClaudeのようなAIモデルは、クライアントサーバーアーキテクチャを通じて、Slackからライブデータを取得したり、Jiraのチケットを更新したり、顧客データベースにクエリを実行したりといったことを、標準的で安全な方法で行うことができます。
公式説明では、「MCPは、物理デバイスにおけるUSB-Cのような、AIアプリケーションのためのユニバーサルアダプターと考えてください」と説明されています。「USB-Cは、デバイスをさまざまな周辺機器やアクセサリに接続するためのユニバーサルアダプターとして機能します。同様に、MCPはAIアプリケーションをさまざまなデータやツールに接続するための標準化された方法を提供します。」
TenableとJFrogが今週報告した脆弱性は、MCPエコシステムのさまざまなコンポーネントに影響を与えます。
Tenableが発見した脆弱性CVE-2025-49596は、MCPサーバーのテストとデバッグに使用されるAnthropicのオープンソースツールMCP Inspectorに影響を与えます。 MCPサーバーは基本的に、AIモデルとそれが接続するデータソースの間の中間層のような役割を果たします。ある数値を追跡しているサイトによると、組織がAIモデルを統合し、様々なユースケースに対応できるMCPサーバーは世界中に約5,000台存在します。しかしながら、これらの多くは構成が誤っているか、安全性に問題があり、それらを使用している組織は攻撃を受けるリスクが高まっています。
重大なリモートコード実行(RCE)セキュリティバグ
CVE-2025-49596は、共通脆弱性評価システム(CVSS)の深刻度スケールで9.4の重大評価を受けており、MCP Inspectorのプロキシサーバーコンポーネントが認証や送信元検証なしに任意のIPアドレスからの接続を受け入れることで、ネットワーク上のどこからでも、場合によってはインターネットからもアクセス可能になるという問題に起因しています。この脆弱性は、MCP Inspector 0.14.1より前のバージョンに影響します。Anthropic社はこの脆弱性の修正プログラムを公開し、セッショントークン認証と送信元検証を追加することで脅威を軽減しています。
TenableのスタッフリサーチエンジニアであるRémy Marot氏によると、主な悪用シナリオは2つあります。攻撃者がプロキシインスタンスをホストしているマシンと同じネットワーク上にいる場合、悪意のあるコマンドを直接プロキシインスタンスに挿入できます。また、悪意のあるWebページを介して細工したHTTPリクエストを送信し、プロキシを騙して開発者のマシン上で任意のコードを実行させることで、この脆弱性を悪用することも可能です。
「攻撃チェーンは、攻撃者が悪意のあるJavaScriptをホストする悪意のあるウェブサイトを作成することから始まります。このJavaScriptはクロスサイトリクエストを実行します」とマロット氏は述べています。「脆弱なバージョンのMCP Inspectorを使用している開発者がこの悪意のあるウェブサイトにアクセスすると、悪意のあるスクリプトが実行され、開発者のワークステーションが完全に侵害されます。」
一方、JFrogが発見した脆弱性CVE-2025-6514は、オープンソースのmcp-remoteプロジェクトに影響を与えるコマンドインジェクションの問題です。 JFrog の説明によると、「Mcp-remote は、Claude Desktop などの Large Language Model (LLM) ホストが、ネイティブではローカル MCP サーバーとの通信のみをサポートしている場合でも、リモート MCP サーバーと通信できるようにするプロキシです。」
CVSSスコア9.6のCVE-2025-6514は、mcp-remoteを実行しているクライアントでOSコマンドインジェクションを可能にする、重大な不適切なサニタイズ問題です。この脆弱性は、mcp-remoteバージョン0.0.5から0.1.15に存在します。
JFrogによると、「影響を受けるバージョンを使用して信頼されていない、または安全でないMCPサーバーに接続するmcp-remoteを使用しているユーザーは、この攻撃の影響を受ける可能性があります」とのことです。セキュリティベンダーであるJFrogは、影響を受ける組織に対し、リスクを軽減し、信頼できるMCPサーバーにのみHTTPS経由で接続するよう、mcp-remoteをバージョン0.1.16にアップデートするよう強く推奨しています。
MCPの導入がセキュリティ対策を上回る
JFrogのセキュリティリサーチ担当バイスプレジデントであるShachar Menashe氏は、攻撃者が既にローカルネットワーク上にいる場合、比較的容易に中間者(MITM)攻撃を用いてLANトラフィックを傍受し、脆弱なエンドポイントへのHTTPリクエストを送信しているかどうかを確認し、悪意のあるレスポンスを挿入できると述べています。リモートから脆弱性を悪用するのは、攻撃者が被害者がmcp-remoteを使用していることを知っている必要があるため、より困難です。しかし、リモート攻撃者が細工したデータをMCPクライアントに送信し、システムを乗っ取るシナリオもあるとMenashe氏は指摘します。
GitGuardianのプロダクトマーケティングマネージャーであるSoujanya Ain氏は、MCPの急速な導入が、それを活用してエージェントAI機能を実現しようとしている組織のセキュリティ対策を上回っていると述べています。 「MCPサーバーはエージェントワークフローのバックボーンであり、急速に増加しています。Smithery.aiなどのパブリックレジストリには既に5,000台以上が公開されています」とAin氏は述べています。
彼女は、GitGuardianが最近実施した調査を例に挙げ、これらのサーバーの5.2%から少なくとも1つのシークレットが漏洩していることを示しています。これは、すべてのGitHubリポジトリのベースラインであ�る4.6%を大幅に上回る数値です。「これらの漏洩には、ベアラートークンやX-APIキーなどの高リスクの認証情報が含まれており、侵害されるとラテラルムーブメント、クラウドアクセス、データ窃盗を可能にする種類のものです」と彼女は述べています。
このような事態の多くは、組織が明確なポリシーやセキュリティガードレールを整備せずにMCPの導入を急いでいることが原因です。 MCPプロトコルの利用が急速に増加したことで、ツールスクワッティング、プロンプトインジェクション、そして設定ミスのあるローカルMCPサーバーを介した不正な権限昇格といった新たな攻撃ベクトルが生まれています。
「LLMはこれらのツールを人間の監視なしにオーケストレーションできるため、侵害を受けたエージェントは、ファイルの読み取り、APIの呼び出し、さらにはインフラストラクチャの変更のトリガーといったアクションを、気付かれずに密かに連鎖させることができます」とAin氏は述べています。
また、セキュリティチームはMCPサーバーをインフラストラクチャとして捉えておらず、これが大きな盲点を生み出しているとAin氏は指摘します。「すべてのインフラストラクチャと同様に、MCPサーバーには強化されたインターフェース、スコープ指定された認証情報、監査証跡、そして最も重要なのは、IDを考慮したアクセスポリシーが必要です。」