TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > 脆弱性: CVE-2025-5277 (MCP) > AIエージェント技術「MCP」に脆弱性報告が相次ぐ、 外部接続に情報窃取のリスク

AIエージェント技術「MCP」に脆弱性報告が相次ぐ、 外部接続に情報窃取のリスク

脆弱性: CVE-2025-5277 (MCP)

【要点】

◎MCPに深刻な脆弱性が続出し、ツールポイズニング等で情報窃取が可能に。普及拡大と比例してリスクも増大し、企業には公式サーバー利用や運用統制が求められる。


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/05/28 2025/05/27 CVE-2025-5277 NVD alexei-led
9.6(CISA-ADP)
 Request Rejected https://jvndb.jvn.jp/ja/cwe/.html aws-mcp-server


【図表】


出典: https://xtech.nikkei.com/atcl/nxt/column/18/00989/080300184/?P=2


【要約】

AIエージェントと外部システムを接続するプロトコルMCPで脆弱性報告が相次いでいる。AWS名義のMCPサーバーに深刻度Criticalのコマンドインジェクション(CVE-2025-5277)が見つかったほか、AtlassianのMCPサーバーでも特権取得可能な脆弱性が判明。普及に伴い公開MCPサーバーが急増する一方で、セキュリティは未成熟で、ツールポイズニングやMCP Rug Pullsなど情報窃取の手法も確認されている。企業は公式サーバーの利用やコンテナ隔離、コード確認、許可リスト運用などガバナンス強化が必須とされる。


【ニュース】

◆AIエージェント技術「MCP」に脆弱性報告が相次ぐ、 外部接続に情報窃取のリスク (日経XTECH, 2025/08/08)
https://xtech.nikkei.com/atcl/nxt/column/18/00989/080300184/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022