サイバーセキュリティ研究者が、figma-developer-mcp Model Context Protocolサーバーに存在していた脆弱性の詳細を公開した。
CVE-2025-53967として追跡されるこの脆弱性は、CVSSスコア7.5のコマンドインジェクションバグで、ユーザー入力のサニタイズ処理が不十分なことに起因する。攻撃者は任意のシステムコマンドを送信でき、サーバープロセスの権限下でリモートコード実行が可能になる。
サイバーセキュリティ企業Impervaが2025年7月にこの問題を発見し報告した。攻撃はMCPクライアントからの初期化リクエストとJSONRPCリクエストを通じて実行される。問題の核心はsrc/utils/fetch-with-retry.tsにあり、child_process.execを介したcurlコマンド実行時にコマンドインジェクションが発生する。
この脆弱性は2025年9月29日にリリースされたバージョン0.6.3で修正された。
From: 
Severe Figma MCP Vulnerability Lets Hackers Execute Code
【編集部解説】
AI開発ツールの急速な普及が、新たなセキュリティリスクを生み出しています。今回発見されたFigma MCPサーバーの脆弱性は、開発者の生産性向上を目指すツールが、逆に攻撃者の侵入口になり得ることを示す典型例です。
特に注目すべきは、この脆弱性が「間接的なプロンプトインジェクション」を可能にする点です。CursorなどのAI駆動型コーディングエージェントと連携するMCPサーバーは、開発者が意図しない操作を実行させられる危険性を孕んでいました。攻撃者は特別に細工したURLやヘッダー値を使い、シェルコマンドを注入できたのです。
この問題の根本原因は、フォールバック機構における設計上の見落としにあります。標準のfetch APIが失敗した際、システムはchild_process.execを使ってcurlコマンドを実行しますが、この過程でユーザー入力が検証されないまま直接シェルコマンドに組み込まれていました。
公共Wi-Fiや企業ネットワーク内での攻撃が可能という点も重要です。リモートの攻撃者が同一ネットワーク上にいれば、脆弱なMCPサーバーにリクエストを送るだけで攻撃を実行できました。DNSリバインディング攻撃を組み合わせれば、さらに攻撃の幅が広がります。
幸いにも、この脆弱性は発見から約2ヶ月後の9月末に修正されました。しかし、AI開発ツールのセキュリティ対策がイノベーションの速度に追いついていない現状が浮き彫りになっています。ローカルで動作するツールであっても、適切な入力検証とサニタイズ処理を欠けば、深刻な脆弱性につながることを認識する必要があります。
【用語解説】
MCP(Model Context Protocol)
AI開発ツールとサーバー間でデータをやり取りするためのプロトコル。CursorなどのAI搭載コーディングエージェントが外部サービスと連携する際に使用される。
コマンドインジェクション
攻撃者が悪意のあるコマンドをシステムに注入し、不正な操作を実行させる攻撃手法。入力値の検証が不十分な場合に発生する。
CVSSスコア
Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を0.0から10.0の数値で表す国際標準の評価システム。7.5は「High(高い)」に分類される。
プロンプトインジェクション
AI言語モデルに対して、特別に細工した入力(プロンプト)を送り込み、意図しない動作を実行させる攻撃手法。間接的な場合、第三者が作成したコンテンツを通じて攻撃が行われる。
DNSリバインディング攻撃
DNSの応答を操作してブラウザの同一オリジンポリシーを回避し、ローカルネットワーク内のサービスにアクセスする攻撃手法。
child_process.exec
Node.jsでシェルコマンドを実行するための関数。シェル経由で実行されるため、適切なサニタイズを行わないとコマンドインジェクションの脆弱性が生じる。
【参考リンク】
Figma(外部)
世界中で使用されているクラウドベースのインターフェース設計プラットフォーム。UI/UXデザイナーやプロダクトチームが共同作業を行うための機能を提供。
Imperva(外部)
Webアプリケーションファイアウォールやデータベースセキュリティなどの製品を提供するサイバーセキュリティ企業。現在はThalesグループの傘下。
Cursor(外部)
AI機能を統合したコードエディタ。生成AIを活用し、開発者の生産性向上を支援するツールとして注目されている。
GitHub Advisory Database(外部)
ソフトウェアの脆弱性情報を集約したGitHubの公式データベース。開発者がセキュリティリスクを把握するための情報源。
FireTail(外部)
APIセキュリティに特化したサイバーセキュリティ企業。API保護とモニタリングのソリューションを提供している。
【参考記事】
Another Critical RCE Discovered in a Popular MCP Server(外部)
脆弱性を発見したImperva社による、Figma MCPサーバーにおけるコマンドインジェクション脆弱性の詳細な技術的解説
CVE-2025-53967(外部)
脆弱性管理プラットフォームTenableによる、脆弱性(CVE-2025-53967)の技術的概要と影響、対策についての評価
figma-developer-mcp vulnerable to command injection in get_figma_data tool(外部)
GitHubのセキュリティアドバイザリに掲載された、脆弱性の概要と影響を受けるバージョン、修正についての公式情報
【編集部後記】
AI開発ツールは日々進化し、私たちの働き方を大きく変えようとしています。しかし、その便利さの裏側にはどのようなリスクが潜んでいるのでしょうか。今回のFigma MCP脆弱性は、ローカル環境で動作するツールであっても攻撃の入口になり得ることを示しています。
みなさんが日常的に使用している開発ツールやAIアシスタントは、適切なセキュリティ対策が施されているでしょうか。生産性向上とセキュリティのバランスをどう取るべきか、一緒に考えていきたいと思います。
