Anthropic MCP Inspectorに重大な脆弱性

開発者向けツールとはいえ、CVSSスコア9.4という深刻度の高さに、セキュリティ対策の重要性を改めて認識させられました。

はじめに

jrnlのジャーナルにClaude Desktopなどからアクセスを可能とするMCPサーバーを開発中で、 統合テスト時にドライバーを探していてMCP Inspectorを検討していたところ、脆弱性の報告があり驚きました。 開発者向けツールとはいえ、CVSSスコア9.4という深刻度の高さに、セキュリティ対策の重要性を改めて認識しました。

MCP Inspector とは何？

MCP Inspectorは、Anthropicが提供するModel Context Protocol (MCP) サーバーのテスト・デバッグツールです。MCPは2024年11月に発表された、LLMアプリケーションと外部データソースやツールとの連携を標準化するオープンプロトコルです。

MCP Inspectorは主に以下のような場面で使用されます。

• MCPサーバー開発者が実装の動作確認を行う際
• API統合のデバッグやトラブルシューティング時
• 本番環境へのデプロイ前の検証作業

ツールはWeb UIを提供するクライアントと、各種MCPサーバーへの接続を仲介するプロキシサーバーで構成されています。

MCP Inspector の脆弱性とは

2025年7月に報告された脆弱性CVE-2025-49596は、悪意のあるWebサイトにアクセスするだけでリモートコード実行を可能にする重大な問題です。

元記事：Critical Vulnerability in Anthropic's MCP Exposes Developer Machines to Remote Exploits

攻撃手法は以下の要素を組み合わせたものです。

• 19年前から存在するブラウザの脆弱性「0.0.0.0 Day」を利用
• MCP InspectorのCSRF脆弱性と連鎖させる
• localhostで動作するサービスへ不正なリクエストを送信

根本原因はデフォルト設定における認証と暗号化の欠如でした。プロキシサーバーが0.0.0.0でリッスンし、クライアントとの間に認証機構がなかったため、任意のコマンド実行が可能となっていました。

影響範囲はMCP Inspectorを使用している開発者に限定されます。一般のMCPユーザーや本番環境のMCPサーバーには直接影響しません。ただし、攻撃を受けた開発者のマシンから機密情報が漏洩したり、ネットワーク内への侵入経路として悪用される可能性があります。

まとめ

この脆弱性は2025年6月13日にリリースされたバージョン0.14.1で修正されています。MCP Inspectorを使用している開発者は直ちにアップデートすることを推奨します。

開発ツールであっても適切なセキュリティ対策が必要であることを示す事例となりました。 特にlocalhostで動作するサービスも攻撃対象となりうることを認識し、 開発環境のセキュリティにも十分な注意を払う必要があると肝に銘じました。