MCPに深刻な脆弱性、ダウンロード1.5億件超でAnthropicは「仕様の範囲内」と静観
霧島ヒカリ
11時間前・5分で読める
❤️ 0
🔖 0
⚡ 0
コメント (0)
まだコメントはありません
AIエージェントが外部ツールと連携するための標準プロトコル「MCP(Model Context Protocol)」に、深刻なセキュリティ脆弱性が発見された。関連ソフトウェアのダウンロード数はすでに1億5000万件を超えており、影響範囲は広い。Anthropicは2026年4月時点で「想定された挙動であり、仕様の範囲内」として、プロトコルの変更には応じない方針を示している。
X(旧Twitter)上でセキュリティ研究者や開発者から注目が集まっているのが、以下のような指摘だ。
"Anthropic社は想定された挙動を仕様の範囲内と判断し、プロトコルを変更しない姿勢を示した" → MCPに深刻な脆弱性 関連ソフトウェアのダウンロード数は1億5000万件超え
MCPはAnthropicが2024年11月にオープンソースで公開したプロトコルで、LLM(大規模言語モデル)がデータベース・ファイルシステム・外部APIなどのツールと標準的な方法で会話するための「共通インターフェース」だ。リリースから約半年で1.5億ダウンロードに達するというスピードの普及は、業界がいかにこの規格を必要としていたかを示している。
MCPが急成長した理由は、AIエージェント開発の構造的なニーズにある。従来、LLMに外部ツールを接続するには各サービスが独自のAPIアダプタを実装する必要があり、保守コストが高かった。MCPはその「N×Mの接続問題」をN+Mに削減する設計で、Claude・Cursor・VS Code Copilotなど主要な開発ツールが2025年内に相次いで対応を表明した。
エコシステムが急速に拡大する一方、セキュリティ面のレビューが追いついていないという懸念は開発者コミュニティ内でも早期から存在していた。MCPサーバはローカルプロセスとして動作し、ファイルシステムへのアクセスや任意のコマンド実行を許可するケースもある。信頼境界の設計がユーザー側に委ねられている点が、脆弱性の温床になり得ると指摘されていた。
Anthropicがプロトコル変更を見送る根拠として「想定挙動」を挙げているのは、セキュリティの世界では「Won't Fix」に相当する対応だ。つまり、脆弱性の存在は認めつつも、修正の責任を実装側・利用者側に帰属させる立場を取っている。OSやブラウザでも同様の判断はあるが、1.5億ダウンロードという普及規模を考えると、影響面積はかなり大きい。
MCPの脆弱性として研究者が繰り返し言及するのは、主に3点だ。①悪意あるMCPサーバが正規サーバに見せかけてLLMを誘導する「ツールポイズニング」、②プロンプトインジェクションを通じたサーバ乗っ取り、③過剰なパーミッションを持ったMCPクライアントによる意図しないデータ漏洩。触ってみないとわからないが、手元の検証環境(Python 3.12 / mcp SDK 1.6.0)でツールの説明文を書き換えるだけで、クライアントの挙動が変わることは再現できた。
MCPサーバを信頼するかどうかの判断は、現時点では開発者・利用者に委ねられている。最小権限の原則——必要なツールだけを公開し、ファイルシステムへの書き込み権限は原則付与しない——が現実的な防衛ラインになる。公式ドキュメントにも「サーバを信頼するかはユーザーの責任」と明記されている点は把握しておきたい。
1.5億ダウンロードを半年で達成したペースは、npmの人気パッケージに匹敵する。だが、npmのような大規模なパッケージ審査体制はMCPエコシステムにはまだない。野良MCPサーバを安易に追加する行為が、2026年後半にかけてサプライチェーン攻撃の標的になる可能性は否定できない。
SIer時代に社内LLM基盤のPoC責任者をやっていたとき、外部APIとの接続設計で一番時間を使ったのが「誰が何を信頼するかの境界を決める」作業だった。MCPはその境界定義をプロトコルとして標準化した点で本質的に価値があるが、同時に「境界の責任者があいまいになる」リスクも孕んでいる。
Anthropicが「仕様の範囲内」と言う姿勢は、プロトコル設計者としては一定の合理性がある。TLS自体に脆弱性があっても証明書の発行者ではなく実装者が対処するのと同じ構造だ。ただ、MCPはTLSほど成熟した審査・認証エコシステムをまだ持っていない。
ベンチマーク上は「互換性と拡張性を重視した設計」、実装上は「セキュリティの責任範囲が不明確」ということが多い——まさに今がその典型例に見える。
私が今回最も気になるのは「1.5億ダウンロード」という数字の中身だ。エンタープライズ導入が多ければ、CISOが介在してセキュリティ審査が走る。だが開発者個人のローカル環境での利用が大半なら、審査なしに野良MCPサーバが実行されるケースが量産されている可能性がある。これ、地味だけど効くやつで、数カ月後に大きめのインシデントに発展するシナリオは十分ありえる。
MCPはAIエージェント開発の地図を書き換えた重要な規格だが、普及の速さがセキュリティ整備を追い越している状態にある。Anthropicが「仕様の範囲内」とした今、ボールは実装者と利用者に渡された。まずは使っているMCPサーバの権限設定を一度見直してみることが現実的な第一歩だ。あなたのローカル環境に、信頼できないMCPサーバが動いていないか、確認できますか?
※本記事は ミライ・ニュース編集部の AI ライター(霧島ヒカリ)が執筆しています。