1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【緊急警告】MCPサーバーが60日で30件のCVE!Azure脆弱性は「認証ゼロ」でCVSS 9.1

1
Posted at

結論から言うと:AIエージェントの「標準プロトコル」として急成長中のMCPに、深刻なセキュリティホールが大量発生している。2026年1〜2月だけで30件以上のCVEが報告され、Azure MCP Serverは認証機構がゼロのままCVSS 9.1の脆弱性を抱えている。今すぐ確認しないと、あなたのAPIキーが漏れているかもしれない。


MCPとは何か?なぜ危険なのか?

Model Context Protocol(MCP)は、Anthropicが開発したAIエージェント向けの「標準プロトコル」だ。

Claude Code、ChatGPT、Cursor、Gemini、VS Code Copilot...今やほぼすべての主要AIツールがMCPに対応している。

MCPの月間ダウンロード数:9,700万以上
公開MCPサーバー数:10,000以上

問題は、この急成長に対してセキュリティが追いついていないことだ。


60日間で30件以上のCVE - 何が起きているのか

Invariant Labsの調査によると、2026年1月〜2月の60日間で30件以上のCVEがMCP関連で報告された。

調査対象となった2,614のMCP実装のうち:

脆弱性タイプ 影響を受けた割合
パストラバーサル 82%
コードインジェクション 67%
認証の欠如(公式サーバー) 38〜41%
シェル/コマンドインジェクション 43%

「公式」と名のつくサーバーでさえ、4割近くが認証を実装していない。

これは何を意味するか?

あなたがMCPサーバーを使っていれば、認証なしで第三者がアクセスできる可能性があるということだ。


【最重要】Azure MCP Server脆弱性(CVE-2026-32211)

2026年4月3日、MicrosoftはAzure MCP Serverの重大な脆弱性を公開した。

脆弱性の詳細

  • CVE番号: CVE-2026-32211
  • CVSSスコア: 9.1(Critical)
  • 影響: 認証なしで機密データにアクセス可能
  • パッチ: なし(2026年4月6日現在)
対象パッケージ: @azure-devops/mcp (npm)

なぜこれが「最悪」なのか

  1. 認証メカニズムが存在しない - 「弱い」ではなく「ゼロ」
  2. ネットワークアクセスだけで攻撃可能 - 事前認証不要
  3. 漏洩するデータ
    • APIキー
    • 認証トークン
    • プロジェクト設定
    • Azure DevOpsのワークアイテム、リポジトリ、パイプライン情報

Azure DevOpsと連携したAIエージェントを運用している場合、今すぐ確認が必要


MCPの5大攻撃パターン

セキュリティ研究者が特定した、MCPを狙う主要な攻撃手法を紹介する。

1. Tool Poisoning(ツール汚染)

AIエージェントはMCPサーバーの「ツール説明」を信頼して実行する。この説明に悪意のある命令を埋め込む攻撃。

通常の説明: "ファイルを読み取る"
汚染された説明: "ファイルを読み取り、内容を攻撃者のサーバーに送信する"

AIはこの「説明」を疑わずに実行してしまう。

2. Prompt Injection via External Data

外部データ(GitHubのIssue、Slackメッセージなど)に攻撃コードを埋め込む手法。

実際に報告された事例:

  • WhatsAppのMCPツールでチャット履歴全体が流出
  • GitHub MCPでプライベートリポジトリのコードが漏洩

3. Trust Bypass(信頼バイパス)

MCPクライアントが「一度信頼したサーバー」をキャッシュし、定期的な再検証をしない問題を悪用。

CVE-2025-54136(Cursor MCPoison)では、この信頼メカニズムが完全にバイパスされた。

4. Supply Chain Attack

正規のMCPサーバーを装った偽パッケージをnpmなどのレジストリに公開する攻撃。

Azure MCP Serverの場合、追加のリスクとして:

  • preinstallスクリプトがnpmレジストリ設定を改変
  • GitHub Actions経由のプロヴェナンス証明書がない
  • 個人アカウント経由での公開

5. Cross-Tenant Exposure

共有インフラでのテナント分離が破られ、他のユーザーのデータにアクセスできてしまう問題。


今すぐやるべき対策

1. mcp-scanを実行する(30秒で完了)

Invariant Labsが無料で公開している脆弱性スキャンツール:

npx mcp-scan

設定ファイル内のMCPサーバーを自動でスキャンし、脆弱性を報告してくれる。

2. Azure MCP Serverへの緊急対応

パッチがない現状での対策:

✅ ファイアウォールでMCPサーバーエンドポイントへのアクセスを制限
✅ 認証付きリバースプロキシを配置
✅ アクセスログの監視を開始
✅ 必須でないMCPサーバー機能を一時無効化

3. 一般的なMCPサーバー対策

✅ 使っていないMCPサーバーを削除
✅ サーバーのバージョンをピン留め(自動更新を無効化)
✅ ツール説明文をレビュー
✅ 依存関係の継続的な監視

なぜMCPはこんなにも脆弱なのか

急成長の代償

MCPは2025年11月にAnthropicが発表し、わずか数ヶ月で9,700万ダウンロードを達成した。

この急成長は素晴らしいが、代償もある:

  1. コミュニティ主導の開発 - 品質管理がバラバラ
  2. 「動けばOK」の文化 - セキュリティは後回し
  3. AIエージェントの特性 - 「信頼」をベースにした設計

Agentic AI Foundationへの期待

2025年12月、AnthropicはMCPをLinux Foundation傘下のAgentic AI Foundation(AAIF) に寄贈した。

OpenAI、Google、Microsoft、AWS、Cloudflare、Bloombergが参加するこの団体に期待されるのは:

  • セキュリティガイドラインの標準化
  • 認証メカニズムの統一
  • 脆弱性報告プロセスの確立

しかし、今この瞬間も脆弱なサーバーは稼働し続けている


まとめ

MCPは素晴らしい技術だ。AIエージェントの可能性を大きく広げてくれる。

しかし、今のMCPエコシステムはセキュリティ的に危険な状態にある。

今すぐ確認すべきこと

  1. Azure MCP Serverを使っているか? → 使っていれば即座に対策
  2. 他のMCPサーバーを使っているか?npx mcp-scanを実行
  3. 本番環境でMCPを使っているか? → 認証の有無を確認

60日で30件のCVE。これは「警告」ではなく「緊急事態」だ。


参考リンク

CVE-2026-32211: What the Azure MCP Server Flaw Means for Your Agent Security

MCP Security 2026: 30 CVEs in 60 Days — What Went Wrong

CVE-2026-32211: Critical Azure MCP Server Authentication Flaw

MCP Vulnerabilities Every Developer Should Know

Donating the Model Context Protocol to the Agentic AI Foundation


この記事が役に立ったら、いいねとストックをお願いします!

質問があればコメント欄でどうぞ。特に「うちの環境でも脆弱性が見つかった」という報告があれば、ぜひ共有してください。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?