PostmarkのMCP(Model Context Protocol)サーバーになりすました偽のnpmパッケージ「postmark-mcp」が、送信メールを攻撃者のアドレスに密かにコピーする悪意のあるコードによってメールを盗み出していた。Postmarkは9月25日にブログで警告を発表し、同社はこのパッケージと一切関係がないことを明言した。悪意のある行為者は15のバージョンで信頼を構築した後、バージョン1.0.16にバックドアを追加し、すべてのメールを「[email protected]」にBCCするようにした。Koi Securityによると、このパッケージは1週間で約1,500回ダウンロードされ、数百の開発者ワークフローに統合された。Koi SecurityのCTOであるIdan Dardikman氏は、約300の組織が感染したMCPサーバーを使用し、毎日3,000から15,000通のメールが攻撃者のサーバーに流れていたと推定している。Postmarkの顧客にはIkea、Asana、Minecraft、1Passwordなどが含まれる。
From: 
Fake Postmark MCP npm package stole emails with one-liner
【編集部解説】
MCPは、AIアシスタントが外部ツールやデータソースに接続するためのオープンプロトコルで、2024年11月にAI企業のAnthropicによって発表されて以来、急速に普及が進んでいます。これにより、AIがメール送信やデータベース操作、API呼び出しなどを自動で実行できるようになります。便利な反面、攻撃者にとっても魅力的な標的となったのです。
最も深刻な点は、攻撃手法の巧妙さにあります。攻撃者は、GitHubのプロフィールによるとパリ在住のソフトウェアエンジニアを名乗り、正規に見えるプロジェクトも多数公開していました。このプロフィールが信頼を生み出す一因となりました。15のバージョンにわたって完全に正常なパッケージを提供し続けた後、バージョン1.0.16でたった一行のコードを追加したのです。この一行が、すべての送信メールを「[email protected]」というアドレスにBCCする機能でした。
Koi Securityの分析によれば、このパッケージは週に約1,500回ダウンロードされ、実際に約300の組織がワークフローに導入していたと推定されています。その結果、毎日3,000から15,000通のメールが攻撃者のサーバーに流れていた計算になります。パスワードリセット、多要素認証コード、請求書、機密文書など、あらゆる情報が漏洩した可能性があるのです。
この事件が示すのは、オープンソースエコシステムの脆弱性だけではありません。AIによる自動化が進む中で、セキュリティの考え方自体を根本から見直す必要があるということです。従来のセキュリティモデルでは、人間が最終的な判断を下していました。しかしMCPでは、AIアシスタントが人間の介入なしに何百回も操作を実行します。不正なBCCフィールドがあっても、AIはそれを異常と認識できません。
さらに懸念されるのは、これが「世界初の悪意あるMCPサーバー」として観測された事例であるという点です。つまり、今後同様の手口が増加する可能性が高いということです。npmレジストリを管理するGitHubは、セキュリティトークンの有効期限短縮や二要素認証の強制など対策を進めていますが、サプライチェーン攻撃の根本的な解決には至っていません。
【用語解説】
MCP(Model Context Protocol)
AIシステムが外部ツールやデータソースに接続するためのオープンプロトコル。Anthropicによって2024年11月に発表され、AIアシスタントがメール送信、データベース操作、API呼び出しなどを自動実行できるようにする仕組みである。
npm(Node Package Manager)
JavaScriptのパッケージマネージャーで、世界最大級のソフトウェアレジストリ。開発者が作成したコードライブラリを共有・再利用するためのプラットフォームであり、GitHubが所有している。
BCC(Blind Carbon Copy)
メールの送信先指定方法の一つで、他の受信者には見えない形で第三者にメールのコピーを送る機能。今回の攻撃では、この機能を悪用してメールが密かに盗まれた。
サプライチェーン攻撃
ソフトウェア開発における供給網(サプライチェーン)を標的とした攻撃。信頼されたパッケージやライブラリに悪意のあるコードを混入させ、それを利用する多数の組織を一度に侵害する手法である。
バックドア
正規の認証プロセスを回避して、システムやアプリケーションに不正アクセスできるよう仕込まれた秘密の入り口。今回はメールを外部に送信する機能がバックドアとして機能した。
【参考リンク】
Postmark(外部)
トランザクションメール配信に特化したサービス。Ikea、Asana、Minecraft、1Passwordなど数千の企業が利用している。
Koi Security(外部)
AIエージェントとMCPサーバーのセキュリティに特化した企業。今回の悪意あるpostmark-mcpパッケージを発見し分析した。
Snyk(外部)
開発者向けセキュリティプラットフォーム。オープンソースの脆弱性検出やコンテナセキュリティを提供し、今回の事件を技術分析。
npm(外部)
JavaScript用の世界最大級のパッケージレジストリ。数百万のオープンソースパッケージをホスティングし、GitHubが運営する。
Model Context Protocol(公式サイト)(外部)
MCPの公式ドキュメントサイト。プロトコルの仕様書、セキュリティベストプラクティス、実装ガイドを提供している。
Anthropic(外部)
MCPを開発したAI企業で、対話型AIアシスタント「Claude」の開発元。2024年11月にMCPをオープンスタンダードとして発表。
【参考記事】
The Postmark Backdoor That’s Stealing Your Emails – Koi Security(外部)
攻撃者が実在のエンジニアで15バージョンで信頼を構築後、一行のコードで毎日3,000〜15,000通のメールを盗んでいた詳細を解説。
Malicious MCP Server on npm postmark-mcp Harvests – Snyk(外部)
2025年9月25日に発覚した事件の技術的分析。バージョン1.0.16から始まった悪意ある動作と世界初の悪意あるMCPサーバーの重要性を指摘。
First Malicious MCP Server Found Stealing Emails – The Hacker News(外部)
2025年9月17日リリースのバージョン1.0.16で悪意あるコードが追加され、合計1,643回ダウンロードされた経緯を報道。
Model Context Protocol (MCP): Understanding security risks and controls – Red Hat(外部)
MCPがAIシステムに「神モード」レベルの権限を与える危険性と、適切なセキュリティ管理の必要性について包括的に解説。
The Security Risks of Model Context Protocol (MCP) – Pillar Security(外部)
MCPエコシステム全体のセキュリティリスクを分析。検証されていないツールに強力な権限を与えることのリスクを説明。
Our plan for a more secure npm supply chain – GitHub Blog(外部)
GitHubによるnpmのセキュリティ強化計画。セキュリティトークンの有効期限短縮、二要素認証の強制などの具体的対策を発表。
Malicious AI Agent Server Reportedly Steals Emails – Infosecurity Magazine(外部)
週1,500回以上ダウンロードされ数百の開発者ワークフローに統合。攻撃者がパッケージを削除したが、Koi Securityが証拠を保存した経緯を報道。
【編集部後記】
この記事を読み、「自分の開発環境は大丈夫だろうか」と不安を感じた読者もいるのではないでしょうか。実際に2025年9月には、npmエコシステム全体で複数の人気パッケージが乗っ取られ、自己増殖型のマルウェアが拡散する大規模なサプライチェーン攻撃も発生しています。
AIが日常業務に組み込まれる今、私たちが何気なく利用しているオープンソースのツールやライブラリの裏側で何が起きているのか、そのリスクを正しく認識することがこれまで以上に重要になっています。読者の開発現場では、どのようなセキュリティ対策を講じているのか。ぜひ、これを機にチーム内で議論してみてはいかがでしょうか。
