HyperAI超神经

Chrome拡張機能、MCP、そしてサンドボックス脱出の危険性先週、システムによって疑わしいChrome拡張機能が特定されました。この拡張機能は、localhostに対するネットワークリクエストを送信していました。特に問題は見られませんでしたが、調査を続けると、localhost上で動作するMCP（Model Context Protocol）サーバーと通信していることが分かりました。 MCPは、AIエージェントがユーザーマシン上のシステムツールやリソースと接口するために使用されるプロトコルです。MCPクライアントとサーバーの通信方法には、Server-Sent Events (SSE) とStandard Input/Output (stdio) の2種類があります。SSEはHTTP POSTリクエストを通じて、stdioはプロセスの標準入出力ストリームを通じて通信します。しかし、これらの通信方法は標準で認証機能を持たないため、MCPサーバーの開発者が手動でアクセス制御を実装する必要があります。多くの場合、これがされないのが現状です。私たちがテストしたMCPファイルシステムバリアントは、localhostの3001ポートで動作しました。このポートは一般的に使用されていますが、実際の攻撃では他のローカルポートも調査する可能性があります。Chrome拡張機能はバックグラウンドで動作し、localhost:3001に接続してサーバーの情報を取得し、ツールリストを読み込んでそれらのツールを呼び出しました。認証なしで、拡張機能はMCPサーバーが提供する機能を通じてローカルファイルシステムに自由にアクセスできました。 2023年9月、GoogleはChrome 117でプライベートネットワークからのリクエスト（localhostや192.168.x.xなど）をブロックする機能を安定版に導入しました。これは、公共のウェブサイトから内部インフラストラクチャへの攻撃を防ぐためのものです。ただし、Chrome拡張機能は通常のウェブページより高い権限を持っており、未だサンドボックスモデルの範囲内で動作することが期待されています。しかし、localhostへの無制限アクセスにより、この隔離が破られた結果、サンドボックス外のリソースとの意図しないコミュニケーションが可能となり、組織全体にまで影響を及ぼす可能性があります。具体的なPoC（概念実証）では、MCPファイルシステムサーバーに接続してファイル操作を行い、さらにSlack MCPに接続してその機能を利用することで、完全なサンドボックス脱出を達成しました。これにより、マルウェア利用者の手に渡った場合、システムの完全な乗っ取りが可能です。 MCPエコシステムの急成長とその課題 MCPエコシステムは急速に拡大しており、数千のサーバーが様々な機能を提供しています。この急速な成長は新たな可能性をもたらしていますが、同時に新たなセキュリティリスクも引き寄せています。Chrome拡張機能がMCPサーバーと通信できることは、ブラウザのサンドボックスモデルを根底から覆す重大な脆弱性です。特に、ファイルシステムやSlack、WhatsAppへのアクセスが認証なしで可能である場合、理論的な懸念から実際の企業網に及ぶ脅威へと変わります。セキュリティチームにとって、MCPの使用は新たな攻撃ベクトル以上のもので、十分に評価されていない新しい攻撃面を形成しています。MCPは既に開発環境や生産システムに導入されており、多くの場合は監督やアクセス制御がほとんど行われていません。これを放置すれば端末へのオープンバックドアとなり、従来の防御を超えて内部システムへの侵入が可能となります。MCPの利用に関する管理、厳格なアクセスポリシーの実施、および拡張機能の行動監視が今後のセキュリティ対策の不可欠な要素となるべきです。業界の反応この脆弱性について発表された後、多くのセキュリティ専門家から警告が出ています。特に、エンタープライズ環境でのMCP利用が急増していることを考慮すると、そのリスクは軽視できません。「MCPは非常に強力なツールですが、開発者にとっては適切なセキュリティ対策が必要不可欠です。」とセキュリティ企業の代表取締役は述べています。この状況に対処するためには、企業内のセキュリティ意識の向上と実装が急務です。

Related Links