～AIエージェント基盤にリモートコード実行リスク、5,000台超のMCPサーバーに影響の可能性～

2025年7月上旬、TenableおよびJFrog Security Researchは、Model Context Protocol（MCP）エコシステムの中核コンポーネントにおける複数の重大なリモートコード実行（RCE）脆弱性を報告しました。MCPは、Anthropicが主導するオープンソース標準であり、AIモデルと外部データソースとの連携を実現する基盤技術として、各種AIエージェントの社会実装を支えています。

今回の報告により、MCPを基盤とするサービスやツールチェーン全体の安全性に対して、重大な再検証が求められる事態となっています。

Tenableが報告：CVE-2025-49596（CVSS 9.4）

Tenableは、MCPの構成要素であるMCP Inspectorに存在するCVE-2025-49596を発見しました。この脆弱性は、バージョン0.14.1未満に影響し、CVSSスコアは9.4と極めて高リスクと評価されています。

具体的には、MCP Inspectorに含まれるプロキシサーバーが、認証や発信元検証を行わないまま任意のIPアドレスからのリクエストを受け入れてしまう設計上の不備が原因で、悪意ある第三者が外部からコードを実行する可能性があります。

JFrogが報告：CVE-2025-6514（CVSS 9.6）

一方、JFrog Security Researchは、MCPとリモート通信を行うプロキシmcp-remoteに、CVE-2025-6514という更に深刻な脆弱性を発見。影響バージョンは0.0.5～0.1.15で、0.1.16で修正されています。CVSSスコアは9.6であり、攻撃が成立した場合の影響は極めて大きいとされます。

mcp-remoteは、AnthropicのClaude DesktopなどのローカルLLMホストとMCPサーバーを仲介する役割を果たしており、広範なシステムで利用されている点が注目されます。

MCPサーバーは世界に5,000台以上、秘密情報の漏洩も確認

GitGuardianの調査によれば、全世界で稼働中のMCPサーバーは約5,000台にのぼり、その5.2％にあたるサーバーで、少なくとも1件以上の機密情報（シークレット）の漏洩が確認されています。これにより、MCPエコシステムに依存するAIエージェントや業務アプリケーションは、意図せぬ情報漏洩や不正制御のリスクに晒される危険性があります。

今後の対応と示唆

TenableおよびJFrogは、該当バージョンの利用者に対し、直ちに最新版へのアップデートを実施すること、ならびにMCP構成のネットワークアクセス制御やシークレット管理の見直しを強く推奨しています。

今回の脆弱性報告は、AIの社会実装を支えるオープンエコシステムが新たなセキュリティ境界（security perimeter）を構成しつつある現実を浮き彫りにするものです。AIと外部情報をつなぐプロトコル層においても、今後は従来のWebアプリケーション同様の高度な脆弱性対応とガバナンス体制の構築が急務といえます。

必要に応じて、以下のような補足も追加可能です：

• 脆弱性のPoC（Proof of Concept）や実証動画へのリンク
• 対応済みバージョンへのアップデート手順
• 関連CISAアドバイザリーへの参照リンク
• AIエージェント環境におけるセキュア開発ライフサイクル（SDL）の推奨

引用元記事：https://innovatopia.jp/cyber-security/cyber-security-news/60132/