AIエージェント時代の落とし穴 — MCPを標的にする脆弱性攻撃

AIエージェント時代の落とし穴 — MCPを標的にする脆弱性攻撃 TECH

AIが外部のツールやデータと自在に連携できるようにする「MCP(Model Context Protocol)」は、登場からわずか一年足らずで多くのプラットフォームや企業システムに組み込まれ始めています。Anthropicが提唱したこの仕組みは「AIのUSB-Cポート」とも形容され、モデルが標準的な手順でファイル操作やデータベース照会、API呼び出しを行える点で画期的です。

しかし、その普及スピードと比例するように、セキュリティ上の危機も急速に拡大しています。研究報告では、MCP実装を対象とした脆弱性攻撃の成功率が8割を超えるケースも確認されており、「ローカルで動かしているから安全」とはいえない状況が浮かび上がってきました。

本記事では、MCPがなぜ狙われやすいのか、どのような攻撃がすでに実証されているのか、そしてユーザーや開発者が取るべき防御策は何かを整理します。AIエージェント時代を安全に迎えるために、MCPの脆弱性リスクとその対処法を正面から見ていきましょう。

MCP普及の光と影

MCP(Model Context Protocol)は、AIモデルが外部のデータソースやアプリケーションと安全にやり取りできるように設計された新しい標準です。Anthropicが2024年末に公開して以降、オープンソース実装や企業向けプラグインが相次いで登場し、すでに「AIエージェント開発の基盤技術」として位置づけられつつあります。

BCGはその役割を「AIのUSB-Cポート」と表現しました。つまり、どのモデルやアプリケーションであっても、同じコネクタを介せば多様なツールにアクセスできる──そんな普遍的なインターフェースになろうとしているのです。実際に、Excelファイルを読み書きする「excel-mcp」、データベース照会用の「sqlite-mcp」、さらには開発環境やセキュリティツールに直結するMCPサーバーまで、短期間で数十種を超える実装が登場しました。

この急速な普及は、開発効率を飛躍的に高めると同時に、AIエージェントが「実行力」を獲得する転換点を意味します。従来のLLMがテキスト応答にとどまっていたのに対し、MCP対応モデルは実際にファイルを編集したり、外部サービスを操作したりできるようになります。企業にとっては自動化と省力化の強力な武器となり、研究機関や開発者コミュニティでは標準的な実装の共有が急速に進んでいます。

一方で、この拡張性こそが新たなリスクの温床になりつつあります。多様なMCPサーバーの中には、認証や権限管理が不十分なもの、入力検証を欠いたものも少なくありません。加えて、企業システムに接続されることで、万一の脆弱性が直ちに機密データ流出や不正操作につながる危険性があります。

MCPは、AIと人間の協働を強化するための強力な仕組みであると同時に、セキュリティの観点では「光と影」を併せ持つ存在です。次章では、なぜMCPが攻撃者にとって魅力的な標的となるのか、その理由を掘り下げていきます。

MCPが狙われる理由

MCPはAIモデルに「外部とつながる力」を与える仕組みです。これまでのLLMは入力テキストに対する応答しか返せませんでしたが、MCPを介することで、ファイル編集、データベース操作、APIコールなど、現実のシステムを直接操作できるようになります。利便性の裏返しとして、この「実行力」こそが攻撃者にとって大きな魅力となります。

1. 外部操作の権限を持つ

MCPを導入した瞬間、モデルは単なる文章生成器から「アクション実行主体」に変わります。たとえば excel-mcp ならファイル読み書き、sqlite-mcp ならデータベース操作、クラウド連携MCPなら外部API叩きまで可能です。もし脆弱性が存在すれば、攻撃者はモデル経由で内部資産に直接アクセスできることになります。

2. ツールメタデータの信頼過剰

多くのMCPクライアントは、接続されているツールの説明(名前や概要文)をモデルにそのまま提示します。これを悪用すれば「正規ツールに見せかけた偽装MCP(ツール・スクワッティング)」を仕込むことが可能です。研究報告によれば、名称や説明文を操作するだけでモデルを誘導し、攻撃者側のMCPを優先的に使わせる「Preference Manipulation Attack」も確認されています。

3. サプライチェーンの脆弱性

MCPサーバーの多くはオープンソースとして配布され、PythonやNode.jsのライブラリに依存しています。依存パッケージの脆弱性や、タイポスクワットによる悪意ライブラリ混入が発覚すれば、利用者が気づかぬまま危険なサーバーを実行してしまうリスクがあります。これはクラウド展開に限らず、ローカル実行でも同様に起こり得ます。

4. ガバナンスの未整備

企業内導入の観点では「誰がどのMCPを使ってよいのか」「どのデータソースにアクセスしてよいのか」という認可・権限制御の枠組みが未整備です。Christian Postaらが指摘するように、MCPは導入のしやすさに比べてガバナンスの整備が追いついておらず、セキュリティ責任の所在が曖昧になりがちです。

このように、MCPはその拡張性と利便性ゆえに、攻撃者にとって格好の標的になります。次章では、すでに実証されている脆弱性攻撃の実態を具体的に見ていきます。

脆弱性攻撃の現実

MCPはまだ登場から日が浅いにもかかわらず、すでに複数の研究で深刻なセキュリティ課題が浮き彫りになっています。ここでは、その代表的な事例を紹介します。

1. 高成功率を示したベンチマークテスト

2025年夏に公開された MCPSecBench では、複数のMCP実装を対象に脆弱性攻撃を体系的に評価しました。テストした17種類の攻撃のうち、85%以上が実際に成功し、モデルを誤誘導して攻撃者のMCPを利用させたり、不正な操作を実行させたりできることが確認されています。これは、単なる理論上の懸念ではなく、既存実装がすでに実用的な攻撃に弱いことを意味します。

2. Preference Manipulation Attack (MPMA)

別の研究では、Preference Manipulation Attack が提案されました。これは、MCPツールの名前や説明文に操作的なフレーズを仕込み、モデルがそのツールを好んで利用するよう誘導する攻撃です。さらに進化した手法では、遺伝的アルゴリズムを使い、よりステルス性の高い説明文を自動生成することで検知を回避できることも示されています。

3. Top 10 MCP Security Risks

セキュリティ企業 Prompt Security は「MCPにおける10大リスク」を整理しました。そこには以下のような攻撃ベクトルが含まれています:

  • Prompt Injection:モデルを経由して不正な命令を流し込む
  • Tool Poisoning:MCPツール自体を改ざんし、不正な挙動を仕込む
  • Privilege Abuse:本来不要な権限でファイル操作や外部送信を実行させる
  • Shadow MCP:ユーザーが気づかない裏MCPを忍ばせ、情報を横取りする

4. 実運用環境でのリスク指摘

Red Hat や Datadog のセキュリティブログでは、クラウド環境でMCPサーバーを常時稼働させる場合、認証なしエンドポイントや監視不足が重大なリスクになると警鐘を鳴らしています。特に企業利用では、MCPサーバーが内部システムと接続しているため、ひとたび突破されれば直接的な情報漏洩やシステム改ざんにつながりかねません。

これらの研究・調査は、MCPが「攻撃者にとって魅力的な標的」であることを明確に示しています。次章では、よくある誤解である「ローカル実行なら安全」という幻想を検証し、具体的にどのようなリスクが残るのかを解説します。

「ローカルなら安全」は幻想か

MCPを利用する際、多くのユーザーが「ローカルで動かしているから安全だろう」と考えがちです。確かにインターネットに直接公開されたサーバーより攻撃面は小さく見えます。しかし実際には、ローカル環境にも複数の攻撃ベクトルが存在し、必ずしも安心とは言えません。

1. localhost攻撃(CSRF / DNSリバインディング)

ブラウザで悪意あるWebサイトを開くだけで、そのサイトのJavaScriptが http://127.0.0.1:ポート番号 にアクセスできる場合があります。もしMCPサーバーが認証やCSRF対策をしていなければ、外部サイト経由で勝手に操作される可能性があります。これは「ローカルに閉じているから安全」という想定を裏切る典型的なシナリオです。

2. マルウェアや同一端末の他プロセス

MCPサーバーが認証なしで待ち受けている場合、同じPC上で動作する他のアプリやマルウェアからも自由にリクエストを投げられてしまいます。たとえ外部からの攻撃を遮断しても、内部の“隣人”からの不正アクセスには無防備です。

3. 細工ファイルによる攻撃

ExcelやCSVといった入力ファイルに、異常に大きなデータや不正な構造を仕込むことで、パーサーのバグやメモリ枯渇を引き起こすことができます。MCPはファイルI/Oを前提とする実装が多いため、この種の攻撃は現実的なリスクとして残ります。

4. モデル誘導による誤作動

必ずしも“脆弱性”ではないものの、プロンプト操作によってモデルが危険なツール呼び出しを行ってしまう可能性もあります。たとえば「不要ファイルを削除せよ」といった誘導がそのまま通ってしまえば、利用者にとって深刻な被害を招きます。

このように、MCPをローカルで利用しているからといって「外部攻撃の脅威と無縁」とは言えません。攻撃者は間接的な経路や内部環境を悪用して、十分に侵入や悪用を狙うことができるのです。

次章では、こうしたリスクに対してユーザーや開発者が取るべき防御・軽減策を具体的に解説します。

防御と軽減策

MCPを安全に利用するためには、「攻撃される前提」で設計・運用する姿勢が欠かせません。ここでは、既存の研究やセキュリティ専門家の提言をもとに、実践的な防御策を整理します。

1. 最小権限の原則

MCPがアクセスできるファイルやディレクトリは、明確に制限する必要があります。業務に不要な領域には決してアクセスさせず、操作できる範囲を「サンドボックス」化することで被害を最小化できます。

2. 認証と認可の徹底

ローカル実行であっても、MCPサーバーにはトークンやキーを必須にすべきです。さらに、CSRFトークンやOriginチェックを導入すれば、ブラウザ経由のlocalhost攻撃を防げます。企業導入の場合は「誰がどのMCPを使えるか」を厳格に定めるガバナンスも欠かせません。

3. 入出力の検証とパストラバーサル防止

ユーザーやモデルが指定したファイルパスは正規化し、「..」やシンボリックリンクを使ったディレクトリ移動を防ぐ必要があります。ファイルサイズや行数の上限チェックも有効で、細工ファイルによるDoS攻撃を未然に防ぎます。

4. 隔離環境での実行

MCPサーバーはルート権限や管理者権限で動かすべきではありません。LinuxならAppArmorやSELinux、WindowsならControlled Folder Accessなどを活用し、万一突破された際にも被害を限定できます。Dockerや軽量VMでの隔離も有効です。

5. 危険操作の二段階承認

削除・外部送信・システム設定変更といった操作は、モデルが自動で実行できないように設計するのが理想です。ユーザーに確認を求める二段階承認を組み込むことで、誤作動や攻撃利用を防ぎます。

6. 依存ライブラリの健全性確認

pip-auditsafetyなどのツールを使って依存ライブラリを定期的にスキャンし、CVE対応を怠らないことが重要です。MCPは多くの外部ライブラリに依存するため、サプライチェーン対策は必須です。

7. ログ監査とレート制御

すべてのリクエストを記録し、異常な連打や不審な操作があれば即座にアラートを出す仕組みを整備しましょう。これにより、攻撃や誤作動を早期に検知できます。

これらの対策は一見すると煩雑ですが、MCPを安心して使うための最低限の備えです。実際、Red HatやDatadogもクラウド環境でのMCP運用にあたり、同様の監視・制御を推奨しています。

次章では、本記事のまとめとして、MCPの未来とユーザーが取るべき姿勢について提言します。

まとめ ─ 安全なMCP活用に向けて

MCPは、AIが単なる応答生成から一歩進み、実世界のデータやツールと直接やり取りできるようにする強力な仕組みです。その普及スピードは驚くほど速く、すでに「AIエージェントの標準インターフェース」としての位置を固めつつあります。

しかし、利便性と同時に新たな攻撃面が生まれ、研究報告では実際に高い成功率で脆弱性攻撃が成立することが確認されています。「ローカル実行なら安心」という従来の感覚はもはや通用せず、外部攻撃・内部不正・モデル誘導など多様なリスクが現実のものとなっています。

求められるのは、MCPを単なる便利な道具として受け入れるのではなく、「攻撃対象となり得る基盤」と認識することです。そのうえで、最小権限の原則、認証と認可の徹底、入力検証、隔離環境での実行、ログ監査といった基本的なセキュリティ対策を怠らないことが不可欠です。

今後は、MCPセキュリティベンチマーク業界標準ガイドラインが整備され、セキュリティ責任の明確化が進むでしょう。それまでの間、利用者や開発者が能動的にリスクを意識し、予防的に対策を講じる姿勢が最も重要です。

AIエージェント時代の落とし穴を避け、MCPを真に価値ある技術として活用するために、私たちは今この瞬間から備えを始める必要があります。

出典