MCP-in-SoS: Risk assessment framework for open-source MCP servers

本論文は、大規模言語モデルエージェントのツール連携を可能にするオープンソースのMCP（Model Context Protocol）サーバーのセキュリティリスクを体系的に評価するフレームワークを提案し、静的コード分析を用いて脆弱性を特定し、現実的な攻撃パターンと照合して多面的なリスクスコアリングを行うことで、安全な設計の必要性を浮き彫りにしています。

要約

🧐 この論文は何について話しているの？

1. 背景：AI に「道具」を持たせる仕組み（MCP）

最近、AI（チャットボットなど）が単に会話するだけでなく、**「インターネットを検索する」「ファイルを操作する」「他のアプリを動かす」**といった現実の作業ができるようになりました。

これを実現するために、Anthropic 社が**「MCP（モデル・コンテキスト・プロトコル）」**という新しい「共通の接続規格」を作りました。

• イメージ： AI が「道具箱」を開けて、必要な道具（ツール）を自由に選んで使えるようにする仕組みです。
• 現状： この「道具箱（MCP サーバー）」は、世界中の開発者がオープンソース（誰でも見れて使えるコード）で作って公開しています。まるで、**「誰でも自由に作れる万能工具セット」**がネット上に溢れている状態です。

2. 問題：道具箱に「欠陥」が溢れている

問題は、この「道具箱」が急激に増えすぎたことです。開発者が急いで作ったため、**「鍵のかけ忘れ」や「壊れた刃物」**のようなセキュリティの欠陥（バグ）が多数含まれている可能性があります。

• リスク： もし AI が欠陥のある道具箱を使ったら、悪意のある人が AI を操って、**「あなたのパソコンのファイルを盗む」「銀行口座にアクセスする」「重要なデータを消す」**といった被害が起きるかもしれません。

3. この研究の目的：「欠陥」を大規模にチェックする

これまでの研究は「理論的な危険性」を議論するだけでしたが、この論文では**「実際に公開されている 222 個の道具箱（オープンソースのサーバー）」をすべてチェック**しました。

彼らは、**「MCP-in-SoS」**という新しい検査キットを開発し、以下の手順で調査を行いました：

1. スキャン： コードを自動で読み込み、危険な箇所を見つける。
2. 分類： 見つかった欠陥を「MITRE（セキュリティの専門家団体）」が定めた基準に当てはめる。
3. リスク評価： 「どれくらい簡単に悪用されるか」「どれくらい被害が大きいか」を点数化してランク付けする。

---

🔍 調査結果：驚きの事実

📊 結果：86% に「欠陥」が見つかった

調査した 222 個の道具箱のうち、191 個（86%）に少なくとも 1 つ以上の欠陥が見つかりました。

• 結論： 「安全な道具箱」を探す方が難しいほど、危険なものが溢れています。

⚠️ 最も多い危険な欠陥

見つかった欠陥の中で特に多かったのは以下の 3 つです：

1. 「鍵のかけ忘れ（認証・認可の欠如）」： 誰でも使えるはずの機能に、パスワードや許可チェックがなかった。
2. 「秘密の漏洩（機密情報の露出）」： 設定ファイルなどにパスワードが平文で書かれていた。
3. 「SQL インジェクション（データベースへの攻撃）」： 入力された命令をそのまま実行してしまうため、悪意のある命令でデータベースを壊されたり盗まれたりする。

🚨 危険な「連鎖」

最も恐ろしいのは、欠陥が単独で存在するのではなく、**「連鎖」**して攻撃を可能にすることです。

• 例： 「鍵のかけ忘れ（プロトコル）」＋「壊れた刃物（ツール）」＝ AI を乗っ取って、勝手にデータを持ち去る。
• 調査によると、「鍵のかけ忘れ」がある場所では、ほぼ 100% の確率で「他の危険な欠陥」もセットで存在していました。

---

💡 何が言いたいのか？（結論）

この論文は、**「AI が道具を使う時代が来たが、その道具箱はあまりにも危ない状態だ」**と警告しています。

• 現状： 多くの開発者が「機能」を優先し、「セキュリティ」をおろそかにしている。
• 提案： 今後は、**「最初から安全に設計する（Secure by Design）」**ことが不可欠です。
• メッセージ： 「AI に道具を持たせるのは素晴らしいことですが、その道具箱に『鍵』と『安全装置』を必ずつけてください。そうしないと、AI が悪用されて、あなたの大切な情報が盗まれてしまいます。」

🎒 簡単なまとめ（比喩で）

• MCP サーバー ＝ 世界中に溢れる「万能工具セット」。
• 現在の状況 ＝ 工具セットの 8 割以上が、**「鍵なしの引き出し」や「刃が剥き出しのナイフ」**のまま放置されている。
• この研究 ＝ その工具セットをすべてチェックし、「どれくらい危ないか」を点数化して、**「まずは鍵をかけろ！」**と警鐘を鳴らした調査報告書。

AI の未来を安全にするためには、開発者が「便利さ」だけでなく「安全性」にもっと真剣に取り組む必要がある、というのがこの論文の核心です。

技術概要

論文「MCP-in-SoS: Open-source MCP サーバーのリスク評価フレームワーク」の技術的サマリー

本論文は、大規模言語モデル（LLM）エージェントが動的なツールやデータソースにアクセスするための標準プロトコルである「Model Context Protocol (MCP)」のセキュリティリスクを体系的に評価する研究です。特に、オープンソースで公開されている MCP サーバーの実装における脆弱性の実態を調査し、リスク評価フレームワークを提案しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細をまとめます。

---

1. 問題定義 (Problem)

MCP は、LLM エージェントと外部ツールを接続するための統一インターフェースとして急速に普及していますが、そのセキュリティリスクに関する体系的な評価は不足していました。

• 背景: MCP サーバーは、エージェントの推論ループによって制御フローが動的に決定されるため、従来の静的なクライアント - サーバー構造とは異なり、ファイル操作、ネットワークアクセス、認証済み API へのアクセスなど、高権限のリソースに直接アクセスする可能性があります。
• ギャップ: 既存の研究では MCP の脅威分類や攻撃のデモが行われていますが、実際に公開されているオープンソースの MCP サーバー実装において、コードレベルの脆弱性がどの程度蔓延しているか、大規模に体系的に評価した研究は存在しませんでした。
• 課題: 実装レベルの欠陥が、単一のリクエストを超えてツール間をまたぐエスカレーション経路（Cross-tool escalation）を生み出し、機密性、完全性、可用性を脅かす可能性があります。

2. 手法 (Methodology)

著者らは、MCP-in-SoS と呼ばれる 4 段階の自動化パイプラインを提案し、GitHub 上の 222 個の Python MCP サーバーリポジトリを対象に分析を行いました。

2.1 分析パイプラインの 4 段階

1. 静的コード分析 (Static Code Analysis):
   • 各リポジトリに対して、CodeQL、Joern、Cisco AI Defender MCP Scanner の 3 つの解析ツールを実行し、候補となる脆弱性（Weakness）を抽出します。
   • Joern については、2025 年版の CWE Top 25 に基づき、Python 向けにカスタムクエリ（54 件）を生成して使用しました。
2. メタデータ準備 (Metadata Preparation):
   • MITRE が提供するCWE（Common Weakness Enumeration）とCAPEC（Common Attack Pattern Enumeration and Classification）のデータベースを統合します。
   • 欠落している値（例：CWE の「攻撃可能性」や CAPEC の「典型的な深刻度」）を、親カテゴリや関連するエントリから推定・補完し、リスク評価に必要なメタデータを整備します。
3. 正規化 (Normalization):
   • 複数のツールから得られた結果を統合し、重複を排除して標準化された CWE 識別子にマッピングします。
   • リポジトリごとの CWE 出現頻度を集計します。
4. リスクスコアリング (Risk Scoring):
   • リスク指数 (Risk Index) を計算します。
     • Likelihood = (CAPEC の攻撃可能性) × (CWE の脆弱化可能性) × (導入モードの数)
     • Impact = (CAPEC の典型的な深刻度) × (CWE の共通結果の数)
     • Risk Score = Likelihood × Impact
   • これらのスコアをリポジトリレベルで集約し、発見された脆弱性の数と深刻度を考慮して、リポジトリ全体のリスクスコアを算出します。

2.2 脅威モデル

• 対象: MCP サーバーの実装（クライアントや LLM 自体の挙動は対象外）。
• 攻撃者: エージェントを悪用し、サーバー側のツールや脆弱性を悪用して機密情報を窃取することを目的とする。
• スコープ: サーバーの権限内で機密性・完全性・可用性が侵害されること。

3. 主要な貢献 (Key Contributions)

1. 大規模な脆弱性評価: GitHub 上の 222 個の Python MCP サーバーリポジトリを対象とした大規模な脆弱性評価を実施。
2. 再現可能なパイプライン: 静的解析ツールと LLM 支援チェックを組み合わせた、CWE へのマッピングと正規化を行う自動化パイプラインの構築。
3. 専用クエリセット: 2025 年版 CWE Top 25 に基づく、Python MCP サーバー向けの Joern クエリセット（54 件）の作成と公開。
4. CWE-CAPEC 駆動のリスクスコアリングモデル: メタデータに基づき、CWE レベルおよびリポジトリレベルのリスク指標を生成するモデルの提案。
5. MCP 固有の脅威表面と連鎖の分析: 4 つの脅威表面（Protocol, Tool, Resource, Prompt）を定義し、それらの条件付き共起性を分析することで、多段階の攻撃チェーンを明らかにしました。

4. 結果 (Results)

222 個のリポジトリを対象とした分析により、以下の重要な知見が得られました。

• 脆弱性の蔓延:
  • 222 個のリポジトリのうち、191 個（86.0%） が少なくとも 1 つの脆弱性を含んでいました。
  • 合計 15,962 件の脆弱性が発見され、51 種類の CWE に分類されました。
• リスク分布:
  • リポジトリレベルのリスク評価において、47.6% が「High（高）」、18.3% が「Very High（非常に高）」のリスク帯に分類されました。
  • 最も頻出した脆弱性は「CWE-862（認証の欠如）」、「CWE-200（機密情報の露出）」、「CWE-306（認証の欠如）」などでしたが、深刻度が高いのは「CWE-732（重要リソースへの権限誤設定）」、「CWE-89（SQL インジェクション）」、「CWE-863（不正な権限付与）」でした。
• 脅威表面と攻撃チェーン:
  • 脆弱性は単独で存在するのではなく、Protocol（プロトコル）、Tool（ツール）、Resource（リソース）、Prompt の 4 つの表面にまたがって連鎖的に発生していました。
  • プロトコル的な弱点が他の弱点を可能にする: ツールやリソースの脆弱性を持つリポジトリの約 87-88% は、同時にプロトコル的な弱点（アクセス制御の不備など）を持っていました。
  • 多段階攻撃チェーンの例:
    1. プロトコル上のアクセス制御の欠如が、ツールのインジェクション攻撃を可能にする。
    2. プロンプト操作（Confused Deputy 行動）が、脆弱な境界を越えてリソースへのアクセスやツール実行を誘発する。

5. 意義と結論 (Significance and Conclusion)

• セキュリティバイデザインの必要性: 現在のオープンソース MCP エコシステムには、実用的な攻撃チェーンを可能にする重大な脆弱性が広く存在しており、開発段階からセキュリティを考慮した設計（Secure-by-Design）が急務であることが示されました。
• プロトコル層の重要性: 単なるツールやリソースの保護だけでなく、MCP プロトコル自体のアクセス制御や境界定義が、他のすべての脆弱性の「到達可能性（Reachability）」を決定づける重要な要因であることが明らかになりました。
• 今後の展望: 本研究で提案されたフレームワークとツールは、MCP サーバーのセキュリティ監査の標準化や、開発者へのフィードバックループの構築に寄与します。また、将来的には TypeScript などの他の言語でのサーバーや、より詳細な実環境でのリスク評価への拡張が期待されます。

本論文は、MCP という新興技術のセキュリティ基盤を確立するために、実証データに基づいた重要な指針を提供するものです。