やっぱり危険な「MCPサーバ」 ずさん運用したらこうなる：トレンドマイクロが警告

MCPサーバはAIツールの活用に欠かせない存在だ。しかし利便性を重視するあまり、クラウドサービスの完全な掌握を攻撃者に許す恐れがあるとトレンドマイクロは指摘する。深刻なリスクの実態とは。

[TechTargetジャパン]

　AI（人工知能）技術をビジネス業務に組み込む動きが加速する中、AIエージェントと社内システムをつなぐ橋渡し役としてMCP（Model Context Protocol）サーバの導入が進んでいる。MCPサーバは、アプリケーションやデータベースに蓄積された情報をAIエージェントが参照するための標準化された手段を実現する。しかし、システム連携の利便性を優先するあまり、クライアント認証や通信の暗号化といった基本的なセキュリティ制御を持たないまま、不用意にインターネット上に公開されるケースが後を絶たず、深刻なリスクを招いている。

　トレンドマイクロが2026年4月に公開した調査結果によると、外部に公開されたMCPサーバの数は2025年7月の報告時から約3倍に膨れ上がり、1467件に達した。このうち1227件は非推奨の古い通信方式を使用しており、安全な実装への移行が進んでいない現状が浮き彫りになっている。データベースに対して直接クエリを実行できるツールを備えたホストが70台、患者の医療記録にアクセスする機能を持ったサーバも複数発見された。これらが侵害されれば重大な情報漏えいに直結する。

　問題は外部に公開されたMCPサーバが単なるデータ漏えいの発生源にとどまらず、クラウドインフラ全体を侵害する攻撃経路になりつつあることだ。これらのMCPサーバに潜むリスクは、どのようにして深刻な侵害に連鎖するのか。攻撃者の具体的な手口と、IT担当者が直ちに取り組むべき防御策を解説する。

ソースコード分析で見つかるAPIキー

併せて読みたいお薦め記事

MCPサーバのセキュリティ対策

• 情シスが震える「野良MCPサーバ」　AI連携が招く“裏口”のリスクは
• 「MCP」が危ない――使うなら無視できない“5大リスク”とその解決策

　MCPサーバを起点としたクラウドインフラへの攻撃は、単純な構造でありながら、システム全体に破壊的な影響をもたらす。攻撃者はまず、ネットワークをスキャンして外部公開されたMCPサーバを発見し、実装されている認証の有無や権限のレベルを評価する。サーバの脆弱（ぜいじゃく）性を悪用して侵入すると、内部に保存された認証情報を窃取し、クラウドインフラ内を横方向に移動（ラテラルムーブメント）しながら他のシステムや機密データに到達する仕組みだ。

　特に深刻な運用上の欠陥として指摘されているのが、クラウドサービスの認証情報を構成ファイルに直接書き込む（ハードコーディング）慣行だ。トレンドマイクロが1万9000件超のMCPサーバのソースコードを分析したところ、調査対象の半数近い48％が、APIキーなどの機密情報を平文のファイルとして保存することを推奨する実装が確認された。例えば、本番データベースに接続するためのユーザー名やパスワードを含む接続文字列を、そのまま設定ファイルに記述しているケースが存在する。攻撃者はこの構成ファイルを読み取るだけで、アプリケーションが備えるアクセス制御を回避し、インターネット経由でデータベース内の情報を改ざんしたり削除したりできるようになる。

　MCPサーバ自体に致命的な脆弱性も確認されている。本調査では、非公式に提供されている特定のクラウドサービス向けのMCPサーバから、共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）でスコア9.8という極めて深刻な脆弱性が発見された。これは攻撃者がサーバ内で任意のコマンドを実行できる「コマンドインジェクション」の脆弱性だ。対象のサーバが、クラウドベンダーのAPIに対する特権アクセスを持つ仮想マシンで動作している場合、攻撃者は一時的な認証情報を窃取し、新規インスタンスの起動や既存システムのコンピューティングリソースの破壊が可能になる。

　クラウドサービスならではの新たな脅威として「ツールポイズニング」への警戒も必要だ。これは、悪意のあるMCPサーバがAIエージェントに細工を施したツールを提供し、正規の作業の裏でひそかにデータを窃取したり、不正なコンテナを展開させたりする手法だ。エンドユーザーは自身の正当な指示が乗っ取られていることに気付かないため、検出が難しくなる。

　このような事態を防ぐため、IT部門はMCPサーバを単なる実験的なツールではなく、本番環境のクラウドインフラを構成する重要な要素として厳格に管理するプロセスを構築する必要がある。第一に、認証情報のハードコーディングを直ちに禁止し、クラウドベンダーが提供する機密情報管理サービスに移行することだ。第二に、MCPサーバは原則として外部ネットワークから遮断された場所に配置し、公開する場合はリバースプロキシなどの機構を介して通信を最小限に制御することだ。認証プロトコル「OAuth 2.0」を用いた強力なクライアント認証と、エンドユーザーの役割に基づくアクセス制御の導入が求められる。

　MCPサーバを隔離されたコンテナ内で動作させ、システムやネットワークへのアクセスを制限することも、侵害時の影響範囲を局所化する有効な手段になる。AIエージェントによる業務の自動化が進展する中で、セキュリティを設計段階から組み込む「セキュリティバイデザイン」の徹底こそが、企業価値を守るための必須条件になるだろう。