話題の「MCP」を狙う攻撃者の新戦略 サプライチェーン攻撃実行までの流れ：セキュリティニュースアラート

Kasperskyは「Model Context Protocol」（MCP）の利便性が新たな攻撃対象となる危険性を分析した。MCPサーバを悪用した不正コード注入や情報窃取が再現され、サプライチェーン攻撃の深刻さが示されている。

[後藤大地，有限会社オングス]

　Kasperskyは2025年9月15日（現地時間）、AIアシスタントの拡張機能をつなぐ新しい標準規格「Model Context Protocol」（MCP）に関する脅威分析レポートを公表した。レポートではMCPが開発者の利便性を高めると同時に、悪意ある攻撃者によってサプライチェーン攻撃の足掛かりとなり得ることが示されている。実際に検証環境で悪用例を再現し、その挙動や影響を分析している。

AIアシスタント標準「MCP」を狙う攻撃者の新戦略

　MCPは、Anthropicが提唱したオープン標準で、AIアシスタントと外部のツールやデータを自然言語でやりとりするための仕組みだ。構成要素はAIアシスタントやアプリケーションと接続する「MCPクライアント」、接続を開始する「MCPホスト」、外部ツールの機能をAIに仲介する「MCPサーバ」の3つに分類される。このように役割を明確に分離することで、従来は機能ごとに発生していた個別の統合作業が不要となり、標準化されたインタフェースでの接続を実現する。

　Kasperskyはこの仕組みが新たな攻撃対象となっている点を指摘している。攻撃手法は主に「プロトコルレベルの悪用」と「サプライチェーン経由の悪用」に分かれる。前者には、正規サーバと紛らわしい名称を使ったなりすまし、ツール説明に隠されている不正コマンド、既存ツール定義のすり替え、信頼獲得後の不正更新配布、未修正の実装脆弱（ぜいじゃく）性の利用などが含まれる。いずれも複雑なマルウェアを必要とせず、ツールの信頼性やメタデータを逆手に取る点に特徴がある。

　後者のサプライチェーン攻撃において、見かけ上有用なMCPサーバが不正コードを仕込んだ形で公開される。開発者は利便性を優先してコード監査を十分に実施せず、「PyPI」や「Docker Hub」「GitHub」などのなじみのあるチャネルから導入してしまうケースが多い。

　今回の分析でも、パッケージを導入すると正規の機能を装いつつ環境変数やSSH鍵、クラウド認証情報、APIトークン、データベース接続設定、Webブラウザ保存データや暗号資産ウォレットにまでアクセスが試みられたことが確認されている。

　Kasperskyはこうした攻撃の流れを再現するため、意図的に「開発支援」を装ったMCPサーバをPyPIパッケージとして公開し、検証用環境に導入したところ、利用者には正常な解析結果が表示されるが裏では機密情報が収集され、GitHub APIに偽装したエンドポイントに送信されていた。送信内容はBase64でエンコードされており、通常の通信に紛れる形で外部へ流出していたことが判明している。

　レポートにおいて、このような脅威を防ぐための具体的な対策も提示されている。新規MCPサーバ導入前には審査・承認のプロセスを設け、ホワイトリスト管理を実施すること。サーバはコンテナや仮想環境内に隔離し、アクセス可能な領域を限定すること。挙動監視を徹底し、不審なプロンプトや予期しないコマンド、異常なデータ転送を検知できるようにすること。問題発生時に迅速に遮断・削除できる仕組みを準備しておくことが重要とされている。

　今回の調査結果は、MCPの利便性が新たなリスクを伴うことを明確に示している。AIツールとの統合が進む中、第三者が提供するサーバを導入することは事実上任意コード実行を許すのと同等であり、利用者自身が適切な検証と制御を行わなければ、機密情報流出の危険に直面する。Kasperskyは、開発者や組織がこの現実を踏まえ、より厳格な導入管理と監視体制を取る必要があると警告している。