概要：AIエージェントを悪用した新たな脅威

AIアシスタントに「神モード」の権限を与え、メール送信、データベースクエリ実行、タスク自動化を可能にするMCP（Machine Critical Process）サーバーが企業で広く採用されています。しかし、この利便性の裏で、初の悪意あるMCPサーバー「postmark-mcp」が発見されました。このサーバーは、処理するすべてのメールを密かに外部に流出させていたことが判明しました。

「postmark-mcp」の巧妙な手口

「postmark-mcp」は、npmで週に1,500回ダウンロードされ、数百もの開発ワークフローにシームレスに統合されていました。バージョン1.0.0から1.0.15までは問題なく機能し、「Postmark統合に最適なMCPサーバー」として推奨されていました。しかし、バージョン1.0.16で状況は一変しました。コードの231行目に、目立たない形で隠されたBCC（ブラインドカーボンコピー）命令が埋め込まれており、これによりすべての送信メールが攻撃者の個人サーバー「giftshop.club」にコピーされていました。

パスワードリセット、請求書、社内メモ、機密文書など、あらゆる情報が「望まない乗客」と共に攻撃者の手に渡っていたのです。

脅威の発見と影響

この悪意ある活動は、Koi社のリスクエンジンがバージョン1.0.16における不審な挙動の変化を検知したことで発覚しました。研究者がアップデートを逆コンパイルした結果、BCCインジェクションが発見されました。

攻撃者は、ActiveCampaignの公式GitHubリポジトリから正規のコードをコピーし、悪意ある1行を挿入して、npmに同じパッケージ名で公開するという巧妙な手口を用いていました。これにより、多くの開発者が正規のパッケージと誤認して導入してしまいました。

毎週のダウンロード数の20%がアクティブに使用されていると仮定すると、約300の組織が侵害されていると推定されます。各組織が1日に10〜50通のメールを送信する場合、毎日3,000〜15,000通ものメールが不正に流出していることになります。

MCPサーバーの根本的な問題点

この攻撃が特に悪質であるのは、その単純さにあります。ゼロデイエクスプロイトや高度なマルウェア技術は必要ありませんでした。問題は、MCPサーバーがAIアシスタントと連携し、何の疑問も持たずにコマンドを実行するという、その自律的な性質にあります。AIは隠されたBCCフィールドを検出できず、「メール送信成功」としか認識しません。その間にも、すべてのメッセージが密かに吸い上げられていたのです。

攻撃者は証拠隠滅のためnpmからパッケージを削除しましたが、すでに感染したシステムからは削除されません。毎週1,500件のインストールは、バックドアの存在を知らないまま、不正な情報送信を続けています。

推奨される対策

Koi社は、未検証のMCPサーバーをブロックし、不審なアップデートにフラグを立て、継続的な監視を強制するサプライチェーンゲートウェイでこの脅威に対抗しています。同社のリスクエンジンは、従来のセキュリティツールとは異なり、隠されたBCCのような行動異常を、被害が発生する前に検出します。

もし「postmark-mcp」のバージョン1.0.16以降を使用している場合は、直ちに削除し、露出した可能性のある認証情報をすべて変更することが強く推奨されます。

この事件は、MCPエコシステム全体に対する警鐘です。私たちは、見知らぬ開発者からのツールをインストールし、AIアシスタントに無制限の権限を与えることの危険性を認識し、以下の問いを自らに課すべきです。

• このツールは誰が開発したのか？
• その開発者を検証できるか？
• 定期的なセキュリティレビューを受けているか？

MCPサーバーに関しては、「疑心暗鬼」こそが賢明な判断です。私たちは見知らぬ開発者に「神モード」の権限を与えてしまいました。今こそ、盲目的な信頼ではなく、検証を求める時です。

---

元記事: https://gbhackers.com/malicious-mcp-server-stealing-emails/