MCP Security Best Practices に見るセキュリティリスクとmodelcontextprotocol/ruby-sdk の authorization の現在地

Transcript

1. MCP Security Best Practices に見るセキュリティ リスクとmodelcontextprotocol/ruby-sdk の authorization の現在地 TokyuRubyKaigi#16

   2025/11/29 神山大智 @_dak2_

2. 目次 • Security Best Practices • 主要な5つのリスク • 3つの対策方針 •

   ruby-sdk の authorization

3. hogehoge

4. 自己紹介

5. 自己紹介 Daichi Kamiyama (@dak2) • 株式会社タイミー • バックエンドエンジニア • RailsTokyo

   の運営をしています • `modelcontextprotocol/ruby-sdk` にコ ミットしてます • 最近 YAPC::Fukuoka に行ってきました

6. MCP Security Best Practices

7. MCP Security Best Practices Anthropic が定めている MCP の Security Best

   Practices https://modelcontextprotocol.io/specification/draft/basic/security _best_practices

8. 主要な5つのリスク

9. 1. 「混乱した代理人」問題 (Confused Deputy) 2. トークンパススルー (Token Passthrough) 3. セッションハイジャック

   (Session Hijacking) 4. ローカルサーバーによる侵害 (Local Server Compromise) 5. 過剰なスコープ (Scope Maximization) 主要な5つのリスク

10. 「混乱した代理人」問題 (Confused Deputy)

11. MCP 認証後に Cookie が攻撃者に利用され、認証を skip されてしまい、MCP サーバーへ勝手にアクセス できてしまう https://modelcontextprotocol.io/specification/draft/basic/security _best_practices#confused-deputy-problem

    「混乱した代理人」問題 (Confused Deputy)

12. トークンパススルー (Token Passthrough)

13. MCP サーバーがトークンを適切な検証をせずに受け入 れてしまい、攻撃者が不正にアクセスできてしまう https://modelcontextprotocol.io/specification/draft/basic/security _best_practices#token-passthrough トークンパススルー (Token Passthrough)

14. セッションハイジャック (Session Hijacking)

15. サーバーから返却されたセッションを盗用され、攻撃 者がなりすましアクセスできてしまう https://modelcontextprotocol.io/specification/draft/basic/security _best_practices#session-hijacking セッションハイジャック (Session Hijacking)

16. ローカルサーバーによる侵害 (Local Server Compromise)

17. 悪意の有無に関わらず、ローカルで起動している MCP サーバーが攻撃の踏み台にされてしまう https://modelcontextprotocol.io/specification/draft/basic/security _best_practices#local-mcp-server-compromise ローカルサーバーによる侵害 (Local Server Compromise)

18. 過剰なスコープ (Scope Maximization)

19. MCP サーバーが過剰な権限を持ってしまい、攻撃者が 不正にシステムリソースへアクセスできてしまう https://modelcontextprotocol.io/specification/draft/basic/security _best_practices#scope-minimization 過剰なスコープ (Scope Maximization)

20. 対策

21. 3つの基本方針

22. • 検証（Verify） • 同意（Consent） • 最小化（Minimize） 3つの基本方針

23. 検証（Verify）

24. • Redirect URI の完全一致: ◦ `start_with?` や正規表現ではなく `==` で検証する ◦

    ワイルドカードを使わない • State パラメータの検証: ◦ CSRF対策として、認証リクエストごとに `SecureRandom.urlsafe_base64` 等で生成し、検証する • トークンのAudience確認: ◦ 送られてきたトークンが「自分（このMCPサーバー）」宛の ものか必ず確認する（Token Passthrough対策） 検証（Verify）- 信頼せず、常に確認する -

25. 同意（Consent）

26. • クライアントごとの同意 (Per-Client Consent): ◦ クライアントAで認証したCookieを、クライアントBの認証 に使い回さない ◦ client_id ごとに明示的な同意画面を挟む

    • 実行前の確認 (Human-in-the-loop): ◦ 特にローカルサーバーの場合、重要な操作（ファイルの書 き込み、外部通信）の前にユーザー確認を求める ◦ sampling 機能等を利用し、LLMが勝手に実行するのを 防ぐ 同意（Consent）- 安易に許可しない -

27. 最小化（Minimize）

28. • スコープの細分化: ◦ `filesystem:read:*` ではなく `filesystem:read:/home/user/project` に限定する ◦ `admin` のような包括的な権限を避ける

    • プログレッシブな権限昇格: ◦ 最初からフル権限を要求せず、必要になったタイミ ングで追加のスコープを要求する (Step-up auth) 最小化（Minimize）- 必要最小限の意識 -

29. modelcontextprotocol/ruby-sdk の authorization

30. 実装中！！ https://github.com/modelcontextprotocol/ruby- sdk/pull/38 modelcontextprotocol/ruby-sdk の authorization

31. すでに Authorization の仕様は前に進 んでいる

32. 2025/11/29現在は、2025-06-18 版の仕様が最新 https://github.com/modelcontextprotocol/model contextprotocol/blob/main/docs/specification/2 025-06-18/basic/authorization.mdx すでに Authorization の仕様は前に進んでいる

33. Authorization の変更点

34. • Resource Indicators for OAuth 2.0 [RFC 8707] の実装が必須化 •

    MCP サーバーは OAuth 2.1 resource server とし て振る舞うことが明確化 • etc… Authorization の変更点（一例）

35. 追従していくしかない

36. まとめ

37. • Verify: 入力値（URI, Token）を疑い、安全なIDを 使う • Consent: クライアントIDごとに同意を取り、勝手 な流用を防ぐ •

    Minimize: ツールができることを絞り込み、影響範 囲を限定する MCP のセキュリティリスクに対する基本方針

38. • 現在実装中 • 仕様はすでに前に進んでいるので、今後のアップ デートを注視していきたい `modelcontextprotocol/ruby-sdk` の authorization の現在地

39. Thank you!!!