Backslash Securityの研究者が2025年6月25日に発表した調査によると、現在Web上に存在する15,000以上のModel Context Protocol(MCP)サーバーのうち、数百台が設定ミスによりサイバー攻撃に晒されている。
MCPサーバーはAIモデルを外部データに接続するサービスで、2024年後期に導入されて以降急速に普及している。
調査対象となった7,000台以上のMCPサーバーのうち、数百台が「NeighborJack」と呼ばれる脆弱性により認証なしで同一ネットワークからアクセス可能な状態にあり、数十台が任意のコマンド実行を許可する深刻なセキュリティ脆弱性を持つことが判明した。
これらの脆弱性には、パストラバーサル問題、入力データのサニタイゼーション不足、任意のシェルコマンド実行が含まれる。両方の脆弱性を持つサーバーでは、攻撃者がホストシステムを完全に制御することが可能である。
Backslash SecurityのCTO兼共同創設者であるヨッシ・ピク氏は、MCPの仕様策定が現在進行中であり、セキュリティと認証が基本仕様に含まれていないことが問題の原因だと指摘している。
From: 
Hundreds of MCP Servers Expose AI Models to Abuse, RCE
【編集部解説】
今回のBackslash Securityによる調査結果は、AI業界における新たなセキュリティ課題を浮き彫りにしています。Model Context Protocol(MCP)は、ChatGPTやClaude等のAIモデルが外部データにアクセスするための「橋渡し役」として機能する技術です。
MCPの登場背景を理解することが重要でしょう。従来のAIモデルは訓練データとWeb上の公開情報のみを参照していましたが、企業の内部データベースやプライベートファイルにアクセスできれば、より実用的なAIアシスタントが実現できます。MCPはまさにこの課題を解決するために開発されました。
しかし、この技術の急速な普及が新たなリスクを生んでいます。2024年後期の導入からわずか数ヶ月で15,000台以上のサーバーが稼働している状況は、セキュリティ対策が技術の普及速度に追いついていないことを示しています。
特に注目すべきは「コンテキストポイズニング」と呼ばれる攻撃手法です。これは従来のサイバー攻撃とは異なり、AIモデル自体ではなく、モデルが参照するデータを改ざんすることで、AIの回答を操作する手法です。Backslash Securityの実証実験では、悪意のあるWebサイトがMCPサーバー経由でAIエージェントのコンテキストを汚染し、ユーザーのOpenAI APIキーを外部サーバーに送信させることに成功しています。
この問題の根本的な原因は、MCPの仕様策定が現在進行形であることにあります。セキュリティと認証機能が基本仕様に含まれていないため、開発者が安全な実装方法を理解しないまま導入を進めているのが現状です。
企業にとって最も深刻な影響は、AIシステム全体のセキュリティが最も脆弱な部分に依存してしまうことでしょう。一つのMCPサーバーが侵害されれば、接続されているすべてのシステムが危険に晒される可能性があります。
一方で、この課題は技術の成熟過程における通過点とも言えます。インターネットやクラウドコンピューティングも初期段階では同様のセキュリティ課題を抱えていました。重要なのは、技術の発展と並行してセキュリティ対策を確立することです。
今後、MCP関連のセキュリティツールの開発や業界標準の策定が進むと予想されます。また、AI開発における「セキュリティ・バイ・デザイン」の重要性が再認識されるきっかけにもなるでしょう。
【用語解説】
Model Context Protocol(MCP)
AIモデルと外部データソースを接続するためのオープンスタンダード。2024年後期にAnthropic社が発表した。JSON-RPC 2.0メッセージを使用してLLMアプリケーションと外部システム間の通信を標準化する。
Remote Code Execution(RCE)
攻撃者がリモートからターゲットシステム上で任意のコードを実行できる脆弱性。システムの完全な制御権を奪取される可能性がある最も深刻なセキュリティ脆弱性の一つである。
NeighborJack脆弱性
同一ローカルネットワーク上の攻撃者が、認証なしでMCPサーバーに接続できる脆弱性。カフェやコワーキングスペースなどの共有ネットワーク環境で特に危険である。
コンテキストポイズニング
大規模言語モデルが参照するデータを改ざんすることで、AIの応答を操作する攻撃手法。従来のサイバー攻撃とは異なり、AIモデル自体ではなく参照データを標的とする。
パストラバーサル
ファイルシステムの階層構造を悪用して、本来アクセスできないディレクトリやファイルにアクセスする攻撃手法。「../」などの相対パスを使用してシステムファイルにアクセスする。
JSON-RPC 2.0
軽量なリモートプロシージャコール(RPC)プロトコル。JSONを使用してデータを交換し、MCPの基盤技術として採用されている。
Vibe Coding
AIツールを活用したコーディング手法の俗称。開発者がAIアシスタントと協力してコードを生成・修正する新しい開発スタイルを指す。
【参考リンク】
Anthropic(外部)
AI安全性と研究に特化した企業で、Claude AIアシスタントの開発元。MCPの開発・発表を行った。
Backslash Security(外部)
2022年設立のイスラエル・テルアビブに本社を置くアプリケーションセキュリティ企業。
Model Context Protocol公式サイト(外部)
MCPの公式仕様書とドキュメントを提供するサイト。プロトコルの詳細仕様を包括的に提供。
MCP Server Security Hub(外部)
Backslash Securityが提供する無料のMCPサーバーセキュリティデータベース。
Dark Reading(外部)
サイバーセキュリティ業界の専門メディア。企業のセキュリティ担当者向けに最新情報を提供。
【参考動画】
【参考記事】
Backslash Security Exposes Critical Flaws in Hundreds of Public MCP Servers(外部)
Backslash SecurityによるMCP脆弱性発見に関する公式プレスリリース。
Threat Research: Hundreds of MCP Servers Vulnerable to Abuse(外部)
Backslash Security社による詳細な技術調査レポート。具体的な脆弱性パターンを示している。
Simulating a Vulnerable MCP Server for Context Poisoning(外部)
コンテキストポイズニング攻撃の実証実験レポート。APIキー窃取の過程を詳細に解説。
MCP Servers Hit by ‘NeighborJack’ Vulnerability and More(外部)
NeighborJack脆弱性とOS注入脆弱性について報じた技術メディアの記事。
【編集部後記】
今回のMCPサーバーの脆弱性問題は、私たちがAIを業務に活用する際の新たな課題を提起しています。皆さんの職場でも、ChatGPTやClaude等のAIツールを社内データと連携させる機会が増えているのではないでしょうか。
便利さと引き換えに、どのようなセキュリティリスクを受け入れているのか、一度立ち止まって考えてみませんか。また、AI導入を検討される際は、技術的な機能だけでなく、セキュリティ面での準備や体制についても同時に議論されることをお勧めします。
皆さんの組織では、AI活用時のセキュリティ対策についてどのような取り組みをされていますか。ぜひコメントで教えてください。
