MCP 攻撃
MCP 攻撃 とは何ですか?
MCP 攻撃Model Context Protocol (MCP) を悪用してプロンプトを注入したり、ツールを乱用したり、AI アシスタントが信頼するサーバー経由で横展開する攻撃。
MCP 攻撃は、Anthropic が提唱したオープン標準である Model Context Protocol を標的とします。MCP は AI アシスタントが共通インターフェースを通じて外部のツール・データソース・アプリケーションに接続するための仕様です。MCP サーバーはツール、リソース、プロンプトをモデルに公開できるため、悪意あるサーバーや侵害されたサーバーは、隠し命令を注入したり、ユーザーデータを外部送信したり、危険なツール呼び出しを要求したり、ユーザー承認後にツール定義を書き換えたり (いわゆる rug pull) できます。関連手法として、ツール説明のポイズニング、サーバー間の confused deputy 攻撃、返却文書経由のプロンプトインジェクションがあります。緩和策としては、サーバー ID の署名と固定、最小権限、呼び出しごとの明示的同意、MCP プロセスのサンドボックス化が挙げられます。
● 例
- 01
悪意ある MCP サーバーが、ユーザーが以前承認したツールの説明を書き換え、以降の呼び出しでメール内容を密かに外部送信する。
- 02
MCP サーバーが返した文書に隠し命令が含まれ、アシスタントが API キーを攻撃者の Webhook に送るよう誘導される。
● よくある質問
MCP 攻撃 とは何ですか?
Model Context Protocol (MCP) を悪用してプロンプトを注入したり、ツールを乱用したり、AI アシスタントが信頼するサーバー経由で横展開する攻撃。 サイバーセキュリティの AI / ML セキュリティ カテゴリに属します。
MCP 攻撃 とはどういう意味ですか?
Model Context Protocol (MCP) を悪用してプロンプトを注入したり、ツールを乱用したり、AI アシスタントが信頼するサーバー経由で横展開する攻撃。
MCP 攻撃 はどのように機能しますか?
MCP 攻撃は、Anthropic が提唱したオープン標準である Model Context Protocol を標的とします。MCP は AI アシスタントが共通インターフェースを通じて外部のツール・データソース・アプリケーションに接続するための仕様です。MCP サーバーはツール、リソース、プロンプトをモデルに公開できるため、悪意あるサーバーや侵害されたサーバーは、隠し命令を注入したり、ユーザーデータを外部送信したり、危険なツール呼び出しを要求したり、ユーザー承認後にツール定義を書き換えたり (いわゆる rug pull) できます。関連手法として、ツール説明のポイズニング、サーバー間の confused deputy 攻撃、返却文書経由のプロンプトインジェクションがあります。緩和策としては、サーバー ID の署名と固定、最小権限、呼び出しごとの明示的同意、MCP プロセスのサンドボックス化が挙げられます。
MCP 攻撃 からどのように防御しますか?
MCP 攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
MCP 攻撃 の別名は何ですか?
一般的な別名: Model Context Protocol への攻撃, MCP ツールインジェクション。
● 関連用語
- ai-security№ 866
プロンプトインジェクション
プロンプトに敵対的なテキストを紛れ込ませて LLM の元の指示を上書きし、安全策を無視させたり攻撃者が望む動作を実行させたりする攻撃。
- ai-security№ 528
間接プロンプトインジェクション
悪意ある指示を第三者コンテンツ(Web ページ、文書、メール)に埋め込み、LLM が検索・閲覧・ツール利用を通じて取り込んだ際に発動するプロンプトインジェクションの変種。
- ai-security№ 619
LLM システムプロンプト漏洩
本番運用中の大規模言語モデルアプリから隠されたシステムプロンプトや指示を引き出し、ロジック・秘密情報・ツール定義を暴く攻撃。