Anthropic MCP Inspectorに重大な脆弱性

開発者向けツールとはいえ、CVSS スコア 9.4 という深刻度の高さに、セキュリティ対策の重要性を改めて認識させられました。

By Toshiyuki Yoshida

はじめに

jrnl のジャーナルに Claude Desktop などからアクセスを可能とする MCP サーバーを開発中で、 統合テスト時にドライバーを探していて MCP Inspector を検討していたところ、脆弱性の報告があり驚きました。 開発者向けツールとはいえ、CVSS スコア 9.4 という深刻度の高さに、セキュリティ対策の重要性を改めて認識しました。

MCP Inspector とは何?

MCP Inspector は、Anthropic が提供する Model Context Protocol (MCP) サーバーのテスト・デバッグツールです。MCP は 2024 年 11 月に発表された、LLM アプリケーションと外部データソースやツールとの連携を標準化するオープンプロトコルです。

MCP Inspector は主に以下のような場面で使用されます。

  • MCP サーバー開発者が実装の動作確認を行う際
  • API 統合のデバッグやトラブルシューティング時
  • 本番環境へのデプロイ前の検証作業

ツールは Web UI を提供するクライアントと、各種 MCP サーバーへの接続を仲介するプロキシサーバーで構成されています。

MCP Inspector の脆弱性とは

2025 年 7 月に報告された脆弱性 CVE-2025-49596 は、悪意のある Web サイトにアクセスするだけでリモートコード実行を可能にする重大な問題です。

元記事:Critical Vulnerability in Anthropic's MCP Exposes Developer Machines to Remote Exploits

攻撃手法は以下の要素を組み合わせたものです。

  • 19 年前から存在するブラウザの脆弱性「0.0.0.0 Day」を利用
  • MCP Inspector の CSRF 脆弱性と連鎖させる
  • localhost で動作するサービスへ不正なリクエストを送信

根本原因はデフォルト設定における認証と暗号化の欠如でした。プロキシサーバーが 0.0.0.0 でリッスンし、クライアントとの間に認証機構がなかったため、任意のコマンド実行が可能となっていました。

影響範囲は MCP Inspector を使用している開発者に限定されます。一般の MCP ユーザーや本番環境の MCP サーバーには直接影響しません。ただし、攻撃を受けた開発者のマシンから機密情報が漏洩したり、ネットワーク内への侵入経路として悪用される可能性があります。

まとめ

この脆弱性は 2025 年 6 月 13 日にリリースされたバージョン 0.14.1 で修正されています。MCP Inspector を使用している開発者は直ちにアップデートすることを推奨します。

開発ツールであっても適切なセキュリティ対策が必要であることを示す事例となりました。 特に localhost で動作するサービスも攻撃対象となりうることを認識し、 開発環境のセキュリティにも十分な注意を払う必要があると肝に銘じました。