MCP に潜むセキュリティリスクを考えてみる Milix-M 2025/07/23 

目次 自己紹介 MCP（Model Context Protocol）とは MCPの何がすごい？ MCPサーバを使う上でのセキュリティリスク 実際の事例 攻撃手順(例) イメージ この攻撃の何が怖い？ まとめ 2 

自己紹介 Milix-M （みりっくす） X: @_milix_m Zenn: @milix_m 年齢: 19歳（今年で20歳） 社会人2年目 出身地: 岐阜県岐阜市 鵜飼や岐阜城が有名です 誕生日: 12月25日 趣味: 車・VR VRは総プレイ時間10000h↑ LT 初めてです。頑張ります 3 

皆さんMCP 使ってますか？ GitHub, Playwright, Notion, FileSystem... 4 

MCP （Model Context Protocol ）とは AIと外部ツールを連携させるためのオープンな標準規格 MCPを通じて何らかのツールを提供するサーバの事をMCP Server と呼ぶ Local MCP Server Remote MCP Server Gemini CLI, Claude CodeといったAIエージェントツールが使われる ようになり、 MCPサーバも色々な用途で様々な人に使われるようになっている 5 

MCP の何がすごい？ AIを通じて外部ツールを操作しやすくなる 今までバラバラだった「呼び出し方」や「使い方」が共通化され る AIに情報を渡したり... AIがサービスを操作したり... MCP開発のSDKを使用することで比較的容易にAIと外部ツールを繋 げられ、（外部サービス提供者から見て）AIエージェント利用者に サービスを触ってもらえる 6 

突然ですが... MCP を使う中で セキュリティ 意識したことありますか？ 7 

MCP サーバーを使う上でのセキュリティリスク AIに外部サービスを繋げるという仕組み上、 セキュリティリスクもある コマンド/プロンプト インジェクション ツール汚染攻撃 MCPサーバが提供するツールの説明文に悪意のあるコードを 埋め込む攻撃 ラグプル攻撃 ツールが使用されるようになった後説明文を変更し攻撃 etc... 8 

実際の事例 GitHub公式のMCPサーバが利用された 攻撃者が悪意のあるGitHub Issueを介してユーザーのAIエージェ ントを乗っ取り、プライベートリポジトリからデータを漏洩させ られる脆弱性 参考: https://invariantlabs.ai/blog/mcp-github-vulnerability 9 

攻撃手順( 例) 1. 悪意のあるIssueの作成 攻撃者がパブリックリポジトリに、プロンプトインジェクション を起こさせる内容を含むIssueを作成 2. ユーザー・エージェント操作 ユーザー操作により、エージェントが悪意のあるIssueを読み取 ってしまいプロンプトインジェクションが実行される 3. プライベート情報の漏洩 エージェントが攻撃者の指示に従い、プライベートリポジトリか ら情報を取得し、パブリックリポジトリにプルクリエストとして 機密情報を公開 10 

イメージ 11 

この攻撃の何が怖い？ GitHub MCPサーバーコード自体の欠陥ではない AIエージェントレベルで対処する必要があるアーキテクチャ上の 問題 MCPプロトコル自体はセキュリティ対策が組み込まれていな い サーバー側のパッチを通じてこの脆弱性を解決することはできな い 同様な攻撃が他のMCPサーバーでも起こり得る 12 

対策・まとめ MCPを通じてAIエージェントが外部ツールを操作するため、 その部分のセキュリティリスクを意識することも重要 現状としては人間の確認が一番の対策になる 個人はもちろん、業務などで利用する場合は信頼できる公式の MCPサーバを使用する、 （可能なら）ざっとコードを確認してみるなどの対策が必要 それこそ, そのコードをAIに読ませるのでも良い 13 

セキュリティも意識して MCP を使って楽しいAI ライフを！！ 14 

ご清聴ありがとうございました！ 15