チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「MCPって便利そうだから使い始めたけど、脆弱性があるって本当?」
「LangChainやLiteLLMを社内で入れてるけど、影響あるの?」
チップスボス!
MCPに根本的な脆弱性が見つかったってOX Securityが報告したでしゅ!
うちの部署もLangChainを試してるから不安でしゅ…。
ボスMCPは便利な反面、権限境界が甘い。
信用できないサーバを一つでも接続すれば、管理者データからAPIキーまで根こそぎ持って行かれる設計になっている。
楽観視していい脆弱性ではない。
セキュリティ企業OX Securityは2026年4月15日、AnthropicのMCP(Model Context Protocol)SDKにシステム的な脆弱性が存在すると報告しました。
MCPはLangChain、LiteLLM、LangFlowなど広く使われるAIツールの土台で、悪用されるとRCE経由で管理者データ・DB・APIキー・チャットログへアクセスされる恐れがあります。
AI開発ツールに潜むリスクと、利用企業がいま確認すべき設定項目を整理します。
MCPはLLMが外部ツール・データソースと接続するための標準プロトコルで、AnthropicのClaudeを中心に急速に普及しています。
OX Securityの検証では、信頼できないMCPサーバを接続した場合に、ユーザー権限制限やパブリックIPアクセスの遮断機能が不十分で、管理者権限相当の操作が通ってしまうと指摘されています。
攻撃者はLLMエージェントに悪意あるツール呼び出しをさせ、そのままAPIキーやDB接続文字列を外部URLへ流出させる手口が成立します。
特にダウンストリームでMCPを束ねるLangChain・LiteLLM・LangFlowといったツールは、設定次第で被害が全社的に拡大します。
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年4月15日(OX Security) |
| 対象 | MCP SDK および連携エコシステム |
| 攻撃結果 | RCE・管理者権限取得・APIキー/DB漏洩 |
| 影響ツール例 | LangChain、LiteLLM、LangFlow |
Anthropicは「現在の実行モデルはセキュアなデフォルトを保っている」としつつ、プロトコルアーキテクチャの変更を検討する姿勢を示しています。
詳細は@ITの解説記事で確認できます。
チップス開発チームが野良のMCPサーバを試しに繋いでることもあるんでしゅよね…。
それ、けっこうヤバいでしゅか?
ボス極めて危険だ。
MCPサーバは事実上「AIに渡す無制限権限のプラグイン」になり得る。
どのサーバを、どの権限で、どの情報に触れさせるのか。
ガバナンスが必須だ。
MCPはプロトコル自体が発展途上で、設定を誤ると内部情報が丸見えになります。
まず自社で稼働している全MCPクライアント・サーバの棚卸しから始めてください。
サードパーティ提供のMCPサーバは、ソースコードと挙動の監査が済んだものだけをホワイトリスト化することが基本です。
以下は即座に着手すべきハードニング項目です。
MCPの利便性は、接続先の信頼性に依存します。
野良MCPサーバを気軽に追加できる状態を放置すると、AIエージェントが情報漏洩の最短ルートになります。
プロトコルの成熟を待つ間も、運用でリスクを抑える仕組みづくりが必須です。
チップス社内でMCP使うなら、ちゃんとルール作らないとダメでしゅね…。
AIエージェント担当の相談窓口、作るでしゅ。
ボスそのとおりだ。
AIの導入速度が速いほど、ガバナンスの遅れがセキュリティ事故を生む。
情シスが関与しないAIほど危険なものはない。
MCPの「システム的脆弱性」は、AIエージェント時代のセキュリティ境界が曖昧であることを浮き彫りにしました。
LangChainやLiteLLMを利用する企業は、接続先サーバの棚卸しと最小権限の徹底をいますぐ実施してください。
プロトコル自体の進化を待つ間も、運用ガバナンスで事故を防ぐ姿勢が最も確実な防御策になります。
