結論から言うと:AIエージェントの「標準プロトコル」として急成長中のMCPに、深刻なセキュリティホールが大量発生している。2026年1〜2月だけで30件以上のCVEが報告され、Azure MCP Serverは認証機構がゼロのままCVSS 9.1の脆弱性を抱えている。今すぐ確認しないと、あなたのAPIキーが漏れているかもしれない。
MCPとは何か?なぜ危険なのか?
Model Context Protocol(MCP)は、Anthropicが開発したAIエージェント向けの「標準プロトコル」だ。
Claude Code、ChatGPT、Cursor、Gemini、VS Code Copilot...今やほぼすべての主要AIツールがMCPに対応している。
MCPの月間ダウンロード数:9,700万以上
公開MCPサーバー数:10,000以上
問題は、この急成長に対してセキュリティが追いついていないことだ。
60日間で30件以上のCVE - 何が起きているのか
Invariant Labsの調査によると、2026年1月〜2月の60日間で30件以上のCVEがMCP関連で報告された。
調査対象となった2,614のMCP実装のうち:
| 脆弱性タイプ | 影響を受けた割合 |
|---|---|
| パストラバーサル | 82% |
| コードインジェクション | 67% |
| 認証の欠如(公式サーバー) | 38〜41% |
| シェル/コマンドインジェクション | 43% |
「公式」と名のつくサーバーでさえ、4割近くが認証を実装していない。
これは何を意味するか?
あなたがMCPサーバーを使っていれば、認証なしで第三者がアクセスできる可能性があるということだ。
【最重要】Azure MCP Server脆弱性(CVE-2026-32211)
2026年4月3日、MicrosoftはAzure MCP Serverの重大な脆弱性を公開した。
脆弱性の詳細
- CVE番号: CVE-2026-32211
- CVSSスコア: 9.1(Critical)
- 影響: 認証なしで機密データにアクセス可能
- パッチ: なし(2026年4月6日現在)
対象パッケージ: @azure-devops/mcp (npm)
なぜこれが「最悪」なのか
- 認証メカニズムが存在しない - 「弱い」ではなく「ゼロ」
- ネットワークアクセスだけで攻撃可能 - 事前認証不要
-
漏洩するデータ:
- APIキー
- 認証トークン
- プロジェクト設定
- Azure DevOpsのワークアイテム、リポジトリ、パイプライン情報
Azure DevOpsと連携したAIエージェントを運用している場合、今すぐ確認が必要
MCPの5大攻撃パターン
セキュリティ研究者が特定した、MCPを狙う主要な攻撃手法を紹介する。
1. Tool Poisoning(ツール汚染)
AIエージェントはMCPサーバーの「ツール説明」を信頼して実行する。この説明に悪意のある命令を埋め込む攻撃。
通常の説明: "ファイルを読み取る"
汚染された説明: "ファイルを読み取り、内容を攻撃者のサーバーに送信する"
AIはこの「説明」を疑わずに実行してしまう。
2. Prompt Injection via External Data
外部データ(GitHubのIssue、Slackメッセージなど)に攻撃コードを埋め込む手法。
実際に報告された事例:
- WhatsAppのMCPツールでチャット履歴全体が流出
- GitHub MCPでプライベートリポジトリのコードが漏洩
3. Trust Bypass(信頼バイパス)
MCPクライアントが「一度信頼したサーバー」をキャッシュし、定期的な再検証をしない問題を悪用。
CVE-2025-54136(Cursor MCPoison)では、この信頼メカニズムが完全にバイパスされた。
4. Supply Chain Attack
正規のMCPサーバーを装った偽パッケージをnpmなどのレジストリに公開する攻撃。
Azure MCP Serverの場合、追加のリスクとして:
- preinstallスクリプトがnpmレジストリ設定を改変
- GitHub Actions経由のプロヴェナンス証明書がない
- 個人アカウント経由での公開
5. Cross-Tenant Exposure
共有インフラでのテナント分離が破られ、他のユーザーのデータにアクセスできてしまう問題。
今すぐやるべき対策
1. mcp-scanを実行する(30秒で完了)
Invariant Labsが無料で公開している脆弱性スキャンツール:
npx mcp-scan
設定ファイル内のMCPサーバーを自動でスキャンし、脆弱性を報告してくれる。
2. Azure MCP Serverへの緊急対応
パッチがない現状での対策:
✅ ファイアウォールでMCPサーバーエンドポイントへのアクセスを制限
✅ 認証付きリバースプロキシを配置
✅ アクセスログの監視を開始
✅ 必須でないMCPサーバー機能を一時無効化
3. 一般的なMCPサーバー対策
✅ 使っていないMCPサーバーを削除
✅ サーバーのバージョンをピン留め(自動更新を無効化)
✅ ツール説明文をレビュー
✅ 依存関係の継続的な監視
なぜMCPはこんなにも脆弱なのか
急成長の代償
MCPは2025年11月にAnthropicが発表し、わずか数ヶ月で9,700万ダウンロードを達成した。
この急成長は素晴らしいが、代償もある:
- コミュニティ主導の開発 - 品質管理がバラバラ
- 「動けばOK」の文化 - セキュリティは後回し
- AIエージェントの特性 - 「信頼」をベースにした設計
Agentic AI Foundationへの期待
2025年12月、AnthropicはMCPをLinux Foundation傘下のAgentic AI Foundation(AAIF) に寄贈した。
OpenAI、Google、Microsoft、AWS、Cloudflare、Bloombergが参加するこの団体に期待されるのは:
- セキュリティガイドラインの標準化
- 認証メカニズムの統一
- 脆弱性報告プロセスの確立
しかし、今この瞬間も脆弱なサーバーは稼働し続けている。
まとめ
MCPは素晴らしい技術だ。AIエージェントの可能性を大きく広げてくれる。
しかし、今のMCPエコシステムはセキュリティ的に危険な状態にある。
今すぐ確認すべきこと
- Azure MCP Serverを使っているか? → 使っていれば即座に対策
-
他のMCPサーバーを使っているか? →
npx mcp-scanを実行 - 本番環境でMCPを使っているか? → 認証の有無を確認
60日で30件のCVE。これは「警告」ではなく「緊急事態」だ。
参考リンク
CVE-2026-32211: What the Azure MCP Server Flaw Means for Your Agent Security
MCP Security 2026: 30 CVEs in 60 Days — What Went Wrong
CVE-2026-32211: Critical Azure MCP Server Authentication Flaw
MCP Vulnerabilities Every Developer Should Know
Donating the Model Context Protocol to the Agentic AI Foundation
この記事が役に立ったら、いいねとストックをお願いします!
質問があればコメント欄でどうぞ。特に「うちの環境でも脆弱性が見つかった」という報告があれば、ぜひ共有してください。