2025年7月11日、TenableとJFrog Security Researchが、Model Context Protocol(MCP)エコシステムにおける2つの重大なリモートコード実行脆弱性を報告した。
MCPは、AnthropicがClaudeなどのAIモデルとデータベースやSlack、Jiraなどの外部データソースを接続するために開発したオープンソース標準である。
TenableはCVE-2025-49596を発見した。この脆弱性はCVSSスコア9.4で、AnthropicのMCP Inspector 0.14.1未満のバージョンに影響する。プロキシサーバーコンポーネントが認証や発信元検証なしに任意のIPアドレスからの接続を受け入れる問題である。
JFrogはCVE-2025-6514を発見した。この脆弱性はCVSSスコア9.6で、mcp-remoteプロジェクトのバージョン0.0.5から0.1.15に影響し、バージョン0.1.16で修正された。mcp-remoteは、Claude DesktopなどのLLMホストがリモートMCPサーバーと通信できるようにするプロキシである。
現在、世界中に約5,000のMCPサーバーが存在し、GitGuardianの調査によると、これらの5.2%が少なくとも1つの秘密を漏洩している。
From: 
Agentic AI’s Risky MCP Backbone Opens New Attack Vectors
【編集部解説】
今回のMCPエコシステムにおける脆弱性発見は、AIの急速な実用化が進む中で、セキュリティ対策が追いついていない現実を浮き彫りにしています。
MCPとは何か、なぜ重要なのか
Model Context Protocol(MCP)は、AIモデルと外部システムを繋ぐ「配管」のような役割を果たします。従来、AIは孤立した存在でしたが、MCPによってSlackからメッセージを取得したり、データベースを更新したりといった実世界での作業が可能になりました。これは単なる技術的進歩ではなく、AIが真の「エージェント」として機能するための基盤技術です。
脆弱性の技術的背景と深刻度
今回発見された2つの脆弱性は、いずれもCVSS 9点台という最高レベルの危険度を持ちます。特に注目すべきは、CVE-2025-49596が「悪意のあるWebサイトを訪問するだけで感染する」という攻撃手法を可能にしている点です。これは従来のサイバー攻撃と比べて、攻撃者にとって極めて低コストで実行できることを意味します。
エージェンティックAIの新たなリスク領域
この事案は、エージェンティックAIが抱える構造的な問題を示しています。従来のソフトウェアと異なり、AIエージェントは自律的に判断し、複数のシステムを横断して作業を実行します。一度侵害されると、人間の監視なしに「静かに」被害を拡大させる可能性があります。
急速な普及と安全性のギャップ
現在、世界中に約5,000のMCPサーバーが存在し、その5.2%で認証情報の漏洩が確認されています。これは全GitHubリポジトリの平均4.6%を大幅に上回る数値です。
企業と開発者への実践的影響
この脆弱性は、AI開発に携わる全ての組織に直接的な影響を与えます。MCP Inspectorは週38,000回ダウンロードされる人気ツールであり、多くの開発現場で使用されているためです。企業は即座にバージョン更新を行うとともに、AI開発プロセス全体のセキュリティ見直しが必要になります。
規制と標準化への影響
MCPのようなAIインフラストラクチャに対する規制フレームワークは、まだ確立されていません。今回の事案は、AI技術の標準化プロセスにおいて「セキュリティ・バイ・デザイン」の重要性を改めて示すものとなるでしょう。
長期的な技術発展への示唆
この問題は、AIエージェントの実用化における「成長痛」と捉えることもできます。しかし、適切な対策を講じることで、より安全で信頼性の高いエージェンティックAIエコシステムの構築が可能になります。重要なのは、技術の進歩と安全性確保のバランスを取ることです。
innovaTopia読者への提言
テクノロジーの最前線にいる皆様にとって、この事案は「AIの未来を形作る重要な転換点」として捉えるべきでしょう。エージェンティックAIの可能性は計り知れませんが、その実現には技術的な革新と同等に、セキュリティ面での成熟が不可欠です。
【用語解説】
エージェンティックAI
人間の監視なしに自律的に判断し、複数のタスクを連鎖的に実行できるAIシステム。従来のAIとは異なり、外部ツールやサービスと連携して実世界での作業を遂行する能力を持つ。
リモートコード実行(RCE)
攻撃者が対象システム上で任意のコードを実行できる脆弱性。システムの完全な制御を可能にするため、最も深刻なセキュリティ脅威の一つとされる。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0の数値で評価する国際標準。9.0以上は「Critical(緊急)」レベルとされ、即座の対応が必要とされる。
中間者攻撃(MITM攻撃)
攻撃者が通信の中継点に位置し、データの盗聴や改ざんを行う攻撃手法。特にローカルネットワーク環境で発生しやすい。
プロンプトインジェクション
AIモデルに対して悪意のある指示を注入し、意図しない動作を引き起こす攻撃手法。エージェンティックAIの普及に伴い新たな脅威として注目されている。
ツールスクワッティング
正規のツール名に類似した名前で悪意のあるツールを公開し、開発者を騙してインストールさせる攻撃手法。
【参考リンク】
Anthropic(外部)
AI安全性と研究に特化した企業。ClaudeなどのAIモデルとModel Context Protocolを開発している。
Model Context Protocol 公式サイト(外部)
Anthropicが開発したAIモデルと外部データソースを安全に接続するためのオープンソース標準プロトコルの公式ドキュメント。
Tenable(外部)
サイバーセキュリティ企業。脆弱性スキャナーNessusの開発元として知られ、3万以上の組織にリスクベースの脆弱性管理ソリューションを提供している。
JFrog(外部)
DevOpsプラットフォーム企業。ソフトウェアサプライチェーン全体の可視性と制御を提供し、Fortune 100企業の大多数が利用している。
GitGuardian(外部)
コードセキュリティソリューション企業。350種類以上の機密情報を検出し、10万人以上の開発者に利用されている。
Smithery AI(外部)
MCPサーバーの構築とデプロイメントのためのプラットフォーム。2,880以上のMCPツールへのアクセスを提供している。
MCP Inspector(外部)
MCPサーバーのテストとデバッグのためのインタラクティブな開発者ツール。リソース、プロンプト、ツールの検査機能を提供している。
【参考記事】
Anthropic MCP Inspector Remote Code Execution(外部)
Tenable社の公式セキュリティアドバイザリ。CVE-2025-49596の技術的詳細やCVSSスコアなど、第一発見者による最も正確な情報が記載されています。
JFrog Security Research Team Discovers Critical Remote Code Execution Vulnerability Hijacking mcp-remote Clients(外部)
JFrog社の公式プレスリリース。もう一方の脆弱性CVE-2025-6514の詳細や攻撃シナリオ、修正版への更新を推奨する公式見解が示されています。
A Look Into the Secrets of MCP: The New Secret Leak Source(外部)
GitGuardian社の調査ブログ。MCPサーバーにおける認証情報漏洩の実態を分析し、エコシステム全体が抱えるセキュリティリスクを解説しています。
【編集部後記】
今回のMCPの脆弱性発見は、私たちがAIエージェントと共に歩む未来への重要な道標だと感じています。皆さんの開発現場や組織では、すでにエージェンティックAIの導入を検討されていますか?この事案を通じて、私自身も改めて考えさせられました。技術の進歩と安全性のバランスをどう取るべきか、そして私たち一人ひとりがAIの未来にどう関わっていけるのか。もしよろしければ、皆さんの現場でのAIセキュリティに対する取り組みや、エージェンティックAIへの期待と不安について、お聞かせいただけませんでしょうか。きっと多くの方が同じような思いを抱えていらっしゃると思います。一緒に考えていけたら嬉しいです。
