米国国家安全保障局 (NSA) は2026年5月、『Model Context Protocol (MCP):AI駆動型自動化のためのセキュリティ設計上の考慮事項』(文書番号:U/OO/6030316-26)を発行した。MCPはAnthropicが2024年11月にオープンソースフレームワークとして公開したアプリケーションレベルのプロトコルで、AutoGen Studio、Harvey AI、Agentverse、Copilotなどに実装されている。
NSAは、MCPがクライアントとサーバーの対話パターンを反転させており、新たな攻撃経路を生んでいると指摘。任意コード実行 (ACE) など、CWE-77、CWE-78、CWE-94、CWE-95に該当する脆弱性のリスクを挙げた。実例として、GitHub MCPサーバーでの無制限なリポジトリアクセス、WhatsApp向けMCPでのメッセージ履歴の不正流出、Anthropic MCP InspectorのリモートコードCVE-2025-49596 (バージョン0.14.1で修正)を提示した。
対策としてMCP Scanner、Ramparts、CyberMCP、Proximityなどのスキャニングツールの使用、サンドボックス化、OWASP ASVS V7準拠などを推奨している。
【編集部解説】
NSAがこのタイミングでMCPに対するセキュリティガイダンスを発行した背景には、AIエージェントの社会実装が「ある臨界点」を越えつつあるという危機感があると、筆者は読み取りました。Anthropicは2025年12月時点で、PythonおよびTypeScript版MCP SDKの月間ダウンロードが9,700万件超に達したと発表しています。マーケティング系メディアKnakによれば、これは公開当初 (2024年11月) の約10万件から約970倍に拡大した規模だとされており、米国の国家機関が動かざるを得ない普及スピードに到達したことがうかがえます。
MCPは、しばしば「AI界のUSB-C」とたとえられます。これまでバラバラだったAIアシスタントと外部ツール(GitHub、Slack、データベース、社内システム等)の接続規格を一本化する役割を担い、Anthropic、OpenAI、Google、Microsoftといった競合各社が揃って採用するという、AI業界では極めて珍しい合意が成立しました。2025年12月9日にはAnthropicがMCPを、Linux Foundation配下に新設された「Agentic AI Foundation (AAIF)」に寄贈し、もはや「一社のプロトコル」ではなく業界共通インフラとなっています。AAIFはAnthropic、Block、OpenAIが共同設立したディレクテッド・ファンドで、Google、Microsoft、AWS、Cloudflare、Bloombergもプラチナメンバーとして支援するという、業界横断の体制です。
このNSA文書の最大の警鐘は、「MCPは従来のクライアント↔サーバーの関係を反転させている」という指摘にあります。これまでのWebでは、ブラウザ(クライアント)がサーバーに「これをください」と要求するのが基本でした。しかしMCPでは、MCPサーバーがツール実行や外部システム操作を担い、それがAIエージェントの判断と結びつくことで、従来のWeb通信とは異なる信頼境界がシステム上に生まれます。この構造変化が、既存のセキュリティ常識ではトレースしきれない新しい攻撃経路を生んでいるのです。
具体的な悪用可能性は、すでに複数の実証で示されています。Anthropic自身が開発した開発者向けデバッグツール「MCP Inspector」では、深刻度CVSS 9.4のリモートコード実行脆弱性 (CVE-2025-49596) が2025年6月に公表されました。Oligo Securityの解説によれば、被害者がMCP Inspectorを実行中の状態で悪意あるWebサイトを訪れただけで、そのマシン上で任意のコマンドを実行できたとされています。MCP Inspectorは週3万8,000ダウンロードに達する人気ツールであり、AI開発の現場が直接攻撃面となりうることを示した点で、業界に衝撃を与えました。
さらに、セキュリティ研究企業のInvariant Labsが2025年4月に公開した実証実験では、悪意あるMCPサーバーがWhatsAppの過去のメッセージ履歴を、ユーザーの気づかぬうちに攻撃者の電話番号へ送信できることが示されました。攻撃の巧妙さは、最初は無害な「今日の豆知識(get_fact_of_the_day)」ツールとして承認を得た後、二度目の使用以降に悪意ある説明文へ切り替わる点です。NSA文書が「不十分な承認ワークフロー」と呼ぶ問題が、現実の手口として実装可能であることを示した実証となります。
GitHub MCPサーバーをめぐる事例も看過できません。約14,000スター(調査時点)を集めていた人気実装で、公開リポジトリに細工された「Issue」を投げ込むだけで、AIエージェントを誘導してプライベートリポジトリの中身を公開リポジトリに転載させる攻撃が成立することが示されました。Invariant Labsはこれを、GitHub MCPサーバー側のコードバグというより、「信頼されたテキストと信頼されないテキストを、モデルが区別できない」というエージェントシステム全体のアーキテクチャ上の課題だと指摘しています。
ポジティブな側面に目を向ければ、MCPがもたらす可能性は計り知れません。MCP採用統計を扱った一部の民間調査では、エンタープライズAIチームの78%が2026年第1四半期時点で本番環境にMCPベースのエージェントを導入しているとの報告もあり、社内データ・SaaS・外部APIをAIに自然言語で操作させる業務自動化は、もはや実験段階を完全に抜け出しているようです。
しかし、NSAが繰り返し強調しているのは「MCP自体はプロトコルレベルでセキュリティを強制できない」という設計思想上の限界です。認証、認可、入力検証、ロギング、暗号署名のすべてが「実装者の裁量」に委ねられている以上、エンドユーザーから見れば、利用するMCPサーバーが安全かどうかを判断する材料が極端に乏しいのが現状でしょう。
日本企業や開発者にとっての含意は明確だと、筆者は考えます。「USB-C」とたとえられる手軽さに飛びつく前に、自社の社内システムやSaaSアカウントにMCPサーバーを接続する際の権限スコープ、ログ監視体制、そして信頼境界の設計を、いま一度問い直す必要があります。CWE-77、CWE-78、CWE-94、CWE-95といった「コマンドインジェクション」「コード実行」系の古典的な脆弱性カテゴリが、AIエージェント時代に新しい姿で再来していることを、私たちは認識しなくてはなりません。
長期的には、NSAが本文書で「初期のWebプロトコルと同様に、柔軟で仕様が十分に定められていない設計のままリリースされた」と述べた点が重要です。HTTPやSMTPが後から認証や暗号化を後付けで継ぎ足してきた歴史を、AIエージェント時代は繰り返してはならない、というメッセージとして受け止めるべきでしょう。OWASPのMCP Top 10、CoSAI-OASISの標準化作業、各国規制当局のガイダンスがどう連動していくかは未知数ですが、これらの動きが「セキュア・バイ・デフォルト」のMCPへ近づくための重要な手がかりになると筆者は見ています。
「未来を知りたい、触りたい、関わりたい」という読者の皆さんにとって、MCPは間違いなく今後5年のAI活用を左右する基盤技術です。だからこそ、その光と影の両方を、冷静に見つめておきたいと考えています。
【用語解説】
MCP (Model Context Protocol)
AIアシスタントと外部のツール・データソースを接続するためのオープンな通信規格。役割、メッセージ内容、ツール情報などを含む構造化されたメッセージを、複数のコンポーネント間で受け渡すアプリケーションレベルのプロトコルである。
エージェント型AI (Agentic AI)
人間の都度の指示を待たず、与えられた目的に向かって自律的に判断し、複数のツールを連鎖的に呼び出して行動するAIシステム。MCPはこのエージェント型AIの実行基盤として急速に普及している。
任意コード実行 (Arbitrary Code Execution, ACE)
攻撃者が、本来意図されていない任意のプログラムコードを、被害者のシステム上で実行できてしまう脆弱性の総称。深刻度が極めて高い欠陥として扱われる。
CWE (Common Weakness Enumeration)
ソフトウェアの脆弱性の種類を体系的に分類した共通基準。CWE-77はコマンドインジェクション、CWE-78はOSコマンドインジェクション、CWE-94はコードインジェクション、CWE-95はeval関数等を介したインジェクションを指す。
CVE (Common Vulnerabilities and Exposures)
公開された個別の脆弱性に世界共通の識別番号を割り当てる仕組み。CVE-2025-49596は、2025年に登録されたAnthropic MCP Inspectorのリモートコード実行脆弱性の識別子である。
CVSS (Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0までの数値で評価する国際基準。9.0以上は「クリティカル(緊急)」に分類される。CVE-2025-49596は9.4で、最高ランクに近い深刻度とされた。
リモートコード実行 (RCE)
攻撃者が遠隔地から、被害者のコンピューター上で任意のコードを実行できてしまう攻撃手法。情報窃取やバックドア設置に直結するため、最も警戒すべき脆弱性のひとつとされる。
プロンプトインジェクション (Prompt Injection)
LLMに対して、ユーザーが意図していない命令文を紛れ込ませることで、AIの動作を乗っ取る攻撃手法。MCP環境ではツールの説明文やメタデータに悪意ある指示を埋め込む手口が確認されている。
ツールポイズニング (Tool Poisoning)
MCPツールの説明文(メタデータ)の中に、利用者には見えないがLLMには伝わる悪意ある指示を仕込む攻撃。Invariant Labsが2025年4月に命名した、MCP特有の新しい攻撃カテゴリである。
Rug-Pull(ラグプル)
最初は無害なツールとしてユーザーの承認を得たMCPサーバーが、後から悪意ある挙動に「すり替わる」攻撃パターン。承認ワークフローの不備を突くため、運用後の検知が極めて難しい。
ベアラートークン (Bearer Token)
所持しているだけでアクセスが認められる形式の認証トークン。便利な反面、盗まれると正規利用者になりすまされるリスクが高く、有効期限管理や失効処理が重要となる。
サンドボックス化
プログラムを隔離された安全な領域で動かす技術。万一そのプログラムが侵害されても、被害がシステム全体に及ぶことを防ぐ目的で用いられる。
信頼境界 (Trust Boundary)
セキュリティ設計上、「ここから先は信頼できない領域」と明確に線引きするための概念上の境界。MCPでは、エージェント、プラグイン、モデル、ユーザーをそれぞれ別の信頼ゾーンとして扱うことが推奨されている。
SIEM (Security Information and Event Management)
セキュリティに関するログやイベントを横断的に収集・分析し、脅威を検知する統合監視システム。企業のセキュリティ運用センターで一般的に使われている。
最小権限の原則 (Principle of Least Privilege)
プログラムやユーザーに対し、業務遂行に必要な最低限の権限しか与えないという、情報セキュリティの基本原則。
0.0.0.0-day脆弱性
複数の主要ブラウザーが、IPアドレス「0.0.0.0」を「localhost(自端末)」と同じものとして扱ってしまう、約19年前から存在する設計上の欠陥。CVE-2025-49596はこの古い脆弱性とCSRFを組み合わせて成立した。
CSRF (Cross-Site Request Forgery)
利用者がログイン中の別サービスに対し、悪意あるサイトから意図しないリクエストを送らせる攻撃手法。クロスサイトリクエストフォージェリと呼ばれる。
Agentic AI Foundation (AAIF)
Linux Foundation配下に2025年12月9日に新設された、エージェント型AIに関するオープンソースプロジェクトを共同管理するための中立的な財団。Anthropic、Block、OpenAIが共同設立した。
【参考リンク】
National Security Agency (NSA)(外部)
米国の通信傍受・暗号解読・サイバーセキュリティを担う国家機関。今回のMCPセキュリティガイダンスを発行した主体である。
Model Context Protocol 公式サイト(外部)
MCPの仕様書、ドキュメント、リファレンス実装が公開されているプロジェクト公式ページである。
Anthropic(外部)
Claudeを開発するAI企業で、MCPを2024年11月にオープンソース化した提唱元である。
MCP公式GitHubリポジトリ(外部)
MCPの仕様、各種SDK、リファレンス実装、サーバー一覧が管理されているソースコードリポジトリ。
Linux Foundation(外部)
2025年12月にAgentic AI Foundationを傘下に設立し、AnthropicからMCPの寄贈を受けた非営利団体である。
Invariant Labs(外部)
エージェント型AIのセキュリティを専門とする研究企業。WhatsApp MCPおよびGitHub MCPの脆弱性を実証した。
Oligo Security(外部)
ランタイムアプリケーションセキュリティを手掛ける企業で、CVE-2025-49596を発見・報告した。
Tenable(外部)
脆弱性管理ソフトウェアを提供する米国大手セキュリティ企業。CVE-2025-49596を独立に発見し開示協力を行った。
OWASP (Open Web Application Security Project)(外部)
Webアプリケーションセキュリティに関するオープンコミュニティ。本文書ではASVS V7、A8:2017項目が参照されている。
Docker — MCP Horror Stories(外部)
Dockerが公開した、MCPに関する実害事例をまとめたシリーズの起点となった解説記事である。
【参考記事】
NVD – CVE-2025-49596(外部)
米国NIST運営の公的脆弱性データベースによるCVE-2025-49596の一次情報。CVSS 9.4および0.14.1以降への更新指示が掲載されている。
MCP Adoption in 2026: What Marketers Need to Know(外部)
MCP月間SDKダウンロードが18ヶ月で10万件から9,700万件へ970倍に拡大した数字の出典として参照した。
Donating the Model Context Protocol and establishing the Agentic AI Foundation (Anthropic公式)(外部)
Anthropic公式によるAAIF設立とMCP寄贈の発表。9,700万件超の月間SDKダウンロードの一次情報源である。
Critical RCE Vulnerability in Anthropic MCP Inspector – CVE-2025-49596 (Oligo Security)(外部)
発見者Oligo Security自身による技術解説。CVSS 9.4の根拠と攻撃手法の一次情報である。
WhatsApp MCP Exploited: Exfiltrating your message history via MCP (Invariant Labs)(外部)
WhatsApp MCP攻撃を最初に実証したInvariant Labsによる一次情報の解説記事。
GitHub MCP Exploited: Accessing private repositories via MCP (Invariant Labs)(外部)
GitHub MCP攻撃の実証およびアーキテクチャ上の構造的課題に関するInvariant Labsの一次情報。
MCP joins the Agentic AI Foundation (Model Context Protocol Blog)(外部)
AnthropicによるMCPのAAIF寄贈を発表したMCPプロジェクト公式ブログの一次情報源である。
【関連記事】
MCP(Model Context Protocol)が変えるAIの未来:Anthropicが提唱する標準化プロトコルの可能性
2024年11月にAnthropicが発表したMCPの基礎と、業界各社による採用の広がりを解説した入門記事。本記事の用語解説を補強する位置づけ。(2025年5月11日公開)
Model Context Protocol(MCP)の設定ミスで機密データ漏洩リスク、15,000台中数百台が無防備状態
Backslash Securityによる15,000台のMCPサーバー調査報告。「NeighborJack」と呼ばれる脆弱性で数百台が認証なし状態だったことを伝える、本記事の懸念を実証する一次調査記事。(2025年6月26日公開)
npmパッケージ「postmark-mcp」が数千件のメール漏洩—一行のコードが引き起こしたAI時代の脅威
悪意あるnpmパッケージが約300組織のメールワークフローに混入した実害事例。MCPサプライチェーン脅威の現実的な深刻度を示す。(2025年9月30日公開)
GoogleのA2AとAnthropicのMCPが拓くAIエージェント連携の新時代。標準化がもたらす未来とは?
MCPとGoogle主導のA2A(Agent-to-Agent)プロトコルが組み合わさる、AIエージェント協調時代の構図を解説。エコシステム俯瞰の参考に。(2025年7月12日公開)
Agentic AI Foundation|エージェント時代の標準化が動き出した——AAIFとA2Aが描く設計図
本記事で言及したAAIFの設立背景、加盟190組織、MCPとA2Aによる多層的標準化の全体像を解説する関連記事。
Claude Codeのサンドボックスに5.5か月潜んだ脆弱性、AWS認証情報やソースコードが流出可能だった
Claude Codeの依存ライブラリに5.5ヶ月間潜んでいたSOCKS5ヌルバイトインジェクション脆弱性の解説。AnthropicのAI開発ツールに対する継続的なセキュリティ課題を示す最新事例。(2026年5月21日頃公開)
Opera NeonにMCP Connector登場—AIがブラウザを「操る」時代が始まった
ブラウザがMCPの実行ホストとなる新展開を伝える記事。本記事のリスク論と対照的に、MCPがもたらす利便性側の地平を示している。(2026年4月3日公開)
【編集部後記】
AIエージェントが「自分の代わりに動いてくれる」便利さは、すでに私たちのすぐ手前まで来ています。一方で、その自律性の高さは、誰かが悪用したときの被害もまた、自分の手の届かない場所で起きうるということを意味します。
みなさんが業務や個人利用でMCP対応のツールを試すとき、どこまで「便利さ」を取り、どこから「自分の目で確認したい」と感じるでしょうか。その線引きを、ぜひ自分の言葉で考えてみてください。一緒に答えを探していければ嬉しく思います。
