MCPサーバーに重大脆弱性、Apacheは修正済みもAlibabaは対応拒否

MCPサーバーの深刻なセキュリティ欠陥が発覚

AIエージェントとデータベースを接続するプロトコル「MCP（Model Context Protocol）」のサーバーに、重大なセキュリティ脆弱性が見つかった。セキュリティアナリストのTomer Peled氏が調査し、Apache Doris、Alibaba RDS、Apache Pinotの3プロジェクトに影響を報告。このうちAlibaba RDSでは、ベンダーがパッチ提供を拒否しており、放置されたリスクが残る。

Peled氏は、脆弱性が「MCPサーバーとバックエンド間のセキュリティ検証が欠落または不十分」であることを指摘。AIエージェントが本番データベースにアクセスする中間に位置するMCPサーバーの弱点は、攻撃者にとって高価値の標的になると警告している。

Apache Doris: SQLインジェクションで任意のコマンド実行可能

Apache Dorisは、1万社以上のミッドサイズおよび大企業ユーザーが利用する高速分析・検索データベースだ。そのMCPサーバーは、AIエージェントがDorisインスタンスに対してSQLクエリやメタデータ取得を行う機能を提供する。

ここで発見されたのがCVE-2025-66335として登録されたSQLインジェクション脆弱性。MCPサーバーの「exec_query」関数が、パラメータの1つ「db_name」を検証せずにSQLクエリを構築するため、攻撃者が悪意あるSQLを注入できる。SQLバリデータはクエリの先頭部分しかチェックしないため、攻撃者の指令が実行される恐れがある。

Apacheはこの脆弱性に対し、パッチ（バージョン0.6.1以降）とCVEトラッカーを公開。対応は完了している。

Alibaba RDS: メタデータ窃取の恐れ、修正拒否

一方、Alibaba RDS（リレーショナルデータベースサービス）のMCPサーバーでは、攻撃者が機密メタデータを窃取できる脆弱性が確認された。Peled氏の報告によると、Alibabaはこの脆弱性を修正しないと決定したという。

具体的な攻撃手法や影響範囲は公開されていないが、データベースのメタデータが漏洩すれば、スキーマ情報やテーブル構造が外部に露出し、さらなる攻撃につながりかねない。Alibabaの対応拒否は、ユーザーにとって残念な判断と言える。

Apache Pinot: 未修正のオープンチケット

Apache Pinotはリアルタイム分析向けの分散データベースで、そのMCPサーバーでも脆弱性が報告されている。インターネットに公開されたPinotインスタンスが乗っ取られる可能性があるとされる。

現時点では、PinotのGitHubリポジトリにオープンチケットが作成されている段階で、パッチは未公開。修正の進捗が注視される。

MCPプロトコルのセキュリティ課題が浮き彫りに

MCPはAnthropicが開発したオープンソースプロトコルで、LLM（大規模言語モデル）やAIアプリケーションが外部データやシステム、相互に接続するための基盤だ。今回の一連の脆弱性は、MCPエコシステム全体のセキュリティ設計に問題があることを示唆している。

Peled氏は「これらのセキュリティギャップは攻撃者にとって高価値の標的となり、今後さらに類似の問題が表面化するだろう」と予測。AIエージェントが本番環境に深く組み込まれる中で、MCPサーバーの堅牢性確保は喫緊の課題となっている。

ユーザー側は、利用するMCPサーバーのベンダー対応を確認し、可能な限り最新パッチを適用する必要がある。特にAlibaba RDSユーザーは、追加の監視やアクセス制限を検討すべきだろう。