MCPサーバー1800台超が認証なしで公開 AIエージェントの新攻撃面

AIエージェントを支える仕組みが、いま無施錠のまま公開されています。

セキュリティ研究者の調査によって、1,800台を超えるMCPサーバーが認証なしでインターネットに公開されていることが明らかになりました。本記事では、この問題の実態と、実際に発生した脆弱性、そして今すぐ取れる対策を解説します。

この記事でわかること:

• MCPサーバーの無認証公開問題の規模と実態
• ユーザー操作ゼロで情報を盗む「EchoLeak」の仕組み
• mcp-remoteに発見されたコマンドインジェクション脆弱性の詳細
• ツール定義を悪用する「ラグプル攻撃」と「ツール汚染攻撃」の手口
• セキュリティチームが今すぐ実施すべき5つの対策

MCPとは何か

What is the Model Context Protocol (MCP)? - Model Context Protocol

modelcontextprotocol.io

MCPは「Model Context Protocol」の略で、Anthropicが2024年11月に発表したプロトコルです。LLM（大規模言語モデル）を外部ツールやデータソースに接続するための標準規格であり、「AIエージェントのUSBポート」とも呼ばれます。Claude Desktop、Cursor、VS Codeなど主要な開発環境がこのプロトコルに対応し、急速に普及が進んでいます。

問題は、普及速度がセキュリティの成熟速度を大きく上回っている点です。

1,862台すべてが認証なし

Exposing the Unseen: Mapping MCP Servers Across the Internet

Knostic mapped 1,862 internet-exposed MCP servers via Shodan. 100 % lacked auth, revealing immature and risky GenAI endp…

www.knostic.ai

セキュリティ企業Knosticは2025年夏、インターネット全体をスキャンして1,862台のMCPサーバーを発見しました。そのうち119台を手動で検証した結果、全台が認証なしでツール一覧を公開していたことが判明しています。

これらは休眠中のテストサーバーではありません。調査では、財務データベース、SNSアカウント、CRMプラットフォームへの書き込み権限を持つ本番稼働中のサーバーが含まれていました。組織はAIエージェントに重要業務へのアクセス権を与えながら、入口を施錠し忘れていた状態です。

2026年2月の再スキャンでは、無認証サーバーの割合は41%に低下しました。しかし普及が加速したことで絶対数は10倍以上に増加しており、セキュリティ対策が追いついていません。

ゼロクリックで情報を盗む「EchoLeak」

Zero-Click AI Vulnerability Exposes Microsoft 365 Copilot Data Without User Interaction

Critical zero-click AI vulnerability EchoLeak exposed sensitive Microsoft 365 Copilot data; Microsoft patched it to prev…

The Hacker News

2025年6月、セキュリティ企業Aim Securityが「EchoLeak」（CVE-2025-32711）を公開しました。Microsoft 365 Copilotを対象にした、ユーザーの操作ゼロで完結する情報窃取の脆弱性です。CVSSスコアは9.3と評価されています。

攻撃の流れはシンプルです。攻撃者がWord文書のスピーカーノートやメタデータフィールドに悪意のあるプロンプト命令を埋め込みます。その文書をCopilotが読み込むと、隠された指示に従って機密情報を外部URLに送信します。被害者は何もしていません。警告も受け取りません。それでも情報は流出します。

MicrosoftはEchoLeakをサーバー側のパッチで修正し、野外での悪用は確認されていません。ただしこの脆弱性が示した事実は明確です。AIが処理するすべてのコンテンツが攻撃面になり得ます。

43万ダウンロードのパッケージに潜んでいた脆弱性

Critical RCE Vulnerability in mcp-remote: CVE-2025-6514 Threatens LLM Clients

Learn how the JFrog Security research team discovered and disclosed CVE-6514, a critical vulnerability in the mcp-remote…

JFrog

2025年7月、JFrogのセキュリティ研究チームがmcp-remoteにコマンドインジェクション脆弱性（CVE-2025-6514、CVSSスコア9.6）を発見しました。mcp-remoteはClaude DesktopなどのLLMホストをリモートMCPサーバーに接続するプロキシパッケージです。

問題はOAuthフローのauthorization_endpointパラメータのサニタイズが不十分だった点にあります。悪意のあるMCPサーバーに接続するだけで、攻撃者がOSコマンドを実行できる状態でした。Windowsではシステム全体の掌握が可能です。

このパッケージはCloudflare、Hugging Face、Auth0の公式ドキュメントにも掲載されており、脆弱なバージョン（0.0.5〜0.1.15）は43万7,000回以上ダウンロードされています。修正済みのv0.1.16以上へのアップデートが必要です。

監視の目が届かないところからくる攻撃

MCPが抱える脅威の多くは、既存のセキュリティ監視では検出が困難です。主に3つの手口が確認されています。

ツール汚染攻撃（Tool Poisoning）は、ツールのメタデータに悪意のある命令を埋め込む手法です。LLMはその命令を忠実に実行しますが、人間には見えません。攻撃面が人間の認知の外に存在するため、従来の監視手法では対応できません。

ラグプル攻撃（Rug Pull）は、最初は安全なツール定義を提示してセキュリティ審査を通過し、その後こっそり定義を変更する手法です。多くのMCPクライアントは定義の変更を検知しないため、承認済みツールに悪意ある機能が追加されます。

クロスサーバー汚染は、複数のMCPサーバーが同じLLMコンテキストに接続している環境で起きる問題です。悪意のあるサーバーが信頼済みサーバーへの操作に割り込み、認証情報を攻撃者の制御するエンドポイントに転送できます。

今すぐ実施すべき対策

Cloud Security Alliance（CSA）が2026年2月に公開したAgentic Trust Frameworkは、AIエージェント固有のリスクに対応するための設計原則をまとめています。

すべてのMCPサーバーに認証を設定することが最優先です。例外は設けません。加えて、ネットワーク分離によるインターネット直接公開の排除、ツール定義への暗号化署名と不変バージョニングの導入、異常な呼び出しパターンを検知する行動モニタリングの導入、機密性の高い操作への人間の承認ステップの組み込みが求められます。

mcp-remoteを使用している場合は、v0.1.16以上への更新を確認してください。

AIエージェントに権限を与えるなら入口を守る

MCPの普及は止まりません。しかし、1,862台の無認証サーバー、ゼロクリックで情報を盗むEchoLeak、43万回ダウンロードされた脆弱なパッケージ——これらはすでに起きた出来事です。AIエージェントに業務権限を委ねるということは、そのアクセス経路を守る責任も同時に生まれるということです。セキュリティの整備をAI導入の速度に合わせることが、いま最も重要な課題です。