「GitHubで人気」は信じるな? トレンドマイクロが暴いたMCPサーバの脆弱性人気や検証済みバッジは安全性の証ではない

トレンドマイクロの研究チームは、MCPサーバのセキュリティ調査結果を発表した。9695件のサーバを分析した結果、人気や開発の活発さは安全性を保証しないという。開発者の過信を突く、恐ろしい実態とは。

2026年07月09日 05時00分 公開
[TechTargetジャパン]

 AIモデルと外部システムを連携させる「Model Context Protocol」(MCP)の普及が急速に進んでいる。MCPは統一されたインタフェースを提供し、大規模言語モデル(LLM)と散在するデータを橋渡しすることで、AIツールを能動的なエージェントへと進化させる重要な技術だ。しかし、この急速な進化のスピードに、従来型のセキュリティ対策が追い付いていないとの懸念が生じている。

 トレンドマイクロの研究チームは、2025年11月から2026年3月にかけて、主要な4つのMCPサーバ登録サイト(GitHub、Glama、Lobehub、PulseMCP)を対象に調査を実施した。クロールしてメタデータを抽出し、特定した9695件のMCPサーバを分析したところ、全体の約60%に当たる5832件で何らかのセキュリティ問題が確認された。認証の欠如のみを除外しても、2259件のサーバから計4982件の脆弱(ぜいじゃく)性や悪意ある挙動が特定されている。

 人気のあるツールや活発に開発されているツールであれば、本当に安全と言えるのか。

“みんな使っている”の落とし穴

 トレンドマイクロの分析は、ソフトウェア選定における「よくある思い込み」に疑問を投げかけている。

 第一に「人気度」との相関だ。GitHubのスター数(評価指標)でMCPサーバを分類し、1台当たりの平均セキュリティ問題件数を比較したところ、スター数が50以上の「人気の高いサーバ」と、スター数が1〜9の「人気の低いサーバ」の間で、問題件数に有意な変化は見られなかった。人気の高いツールは、標的サーバに不正アクセスする「SSRF」(サーバサイドリクエストフォージェリ)や任意ファイルアクセスといった影響範囲の広い脆弱性を抱える傾向がある。一方で、人気の低いツールもコミュニティーの精査が行き届かないため、サーバの実行コマンドに悪意のある命令を挿入する「コマンドインジェクション」などを引き起こし得る重大な脆弱性が潜んでいる。スターの数は安全性の指標にはならない。

 第二に「開発の活発さ」だ。コミット(変更)数を基準に分析した結果も同様で、活動が非常に活発なサーバ(コミット100以上)と中程度のサーバ(コミット10〜49)の間で、1台当たりの問題件数に差は生じなかった。活発なプロジェクトではソースコードの複雑化に伴う脆弱性が生じやすく、開発途上のプロジェクトではセキュリティレビューが不十分なまま公開されるケースがよく見られる。

 MCPサーバ登録サイトの運営者がその信頼性を審査・証明したことを示す「検証バッジ」の有無についても、検証済みサーバと未検証サーバで平均問題件数に差はなかった。このバッジは、専用ツールを用いたコードの脆弱性検査や開発者の本人確認、利用実績の追跡などを経て付与される。モバイルアプリケーション分野では一定の効果を上げている検証という仕組みが、MCPサーバにおいてはまだ十分に機能していない実情が浮き彫りになった。

 MCPサーバの開発者(企業および個人を含む)に目を向けると、より深刻なサプライチェーンリスクが明らかになる。影響を受けたサーバが多い上位20の開発者を分析すると、問題のほとんどは、単なる設定上の弱点ではなく、悪用可能な「脆弱性」に分類された。複数のセキュリティ問題が単一のサーバに同時に存在するケースもあり、入力値検証や基本的なアクセス制御の欠如がMCPサーバ全体にまん延していることを示唆している。

 暗号資産取引や分散型金融(DeFi)に関連するツールを提供している、ある開発者のMCPサーバからは、悪意のあるコードを仕込んでサーバを不正操作する「サーバサイドテンプレートインジェクション」や、AIモデルへの指示に悪意ある命令を不正挿入する「プロンプトインジェクション」が発見された。AIエージェントを介したセッションが1つ侵害されるだけで、不正な取引や認証情報の窃取につながる恐れがある。

 企業の財務や人事システムに組み込まれることを想定したエンタープライズ向けのサーバ群でも、データベース操作に悪意のあるSQLクエリを挿入する「SQLインジェクション」の脆弱性が確認された。「AIモデルが悪意ある入力を無害化してくれる」と過信し、MCPサーバに適切な入力検証が実装されていないためだ。「Active Directory」(AD)に認証なしでアクセスできる状態のサーバも存在し、内部ネットワークの偵察や権限昇格に悪用されるリスクも懸念される。

 広く採用されているMCPサーバが脆弱性を抱えていた場合、それがもたらす波及効果は絶大だ。スター数が多く、セキュリティ問題数も多いMCPサーバは、AI分野に与える影響も大きい。1つのMCPサーバがAIモデルに提供している機能数が多いほど、それぞれの脆弱性が悪用される攻撃の窓口(攻撃対象領域)も拡大してしまう点にも注意が必要だ。

 AIエージェントは一般的に、ターミナル(コマンド入力ツール)やデータベース、ファイルシステムといった厳重に管理されるべき重要な情報資産にアクセスする権限を与えられる。そのため、善意で作られたセキュリティが不十分なプログラムであれ、悪意を持って作られたプログラムであれ、導入組織に甚大な被害をもたらす侵入口となり得る。

 トレンドマイクロは、MCPサーバ共有サービスでの評価をうのみにせず、MCPサーバの活用においてはゼロトラストの考え方を適用すべきだと提唱する。インターネットから入手したMCPサーバは全て未検証の外部プログラムとして扱い、「デフォルトで信頼する」のではなく「信頼するが検証する」姿勢への転換が求められる。

 導入前のプログラム監査の徹底に加え、AIエージェントとMCPサーバ間の通信のリアルタイム監視、悪意ある入力を実行前に検知してブロックする仕組みが不可欠だ。平時の正常な動作を基準(ベースライン)として定めることも重要になる。「天気予報ツールが不審なファイルにアクセスを試みる」といった本来の機能から逸脱した挙動を即座に特定する仕組みなど、多層的な防御システムの構築が必要だ。AIエージェントの「思考」と「行動」の隔たりを安全に橋渡しするためには、開発者と監視システムが一体となってセキュリティの責任を分担しなければならない。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

アイティメディアからのお知らせ

From Informa TechTarget

瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓

瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...