MCP固有脅威シグナルはどこで観測されたか: 2,869件から見えた傾向と限界

用語

用語	意味
MCP固有脅威シグナル	AIエージェントやMCPの動作文脈を前提に観測される脅威パターン
従来型脅威シグナル	Shell RCE や SSRF のように、MCP以前から知られている脅威パターン
共起	複数の脅威シグナルが同じサーバーで同時に観測されること
観測範囲	今回の集計で直接確認できた範囲。未検出は「存在しない」と同義ではない

リード

MCPとAIエージェントの登場で、本当に新しい攻撃面が増えたのか。この問いに対して重要なのは、概念論ではなく、実際にどこで何が観測されたかである。

本稿では、2,869の固有MCPサーバーに対して観測された6種類のMCP固有脅威シグナルを整理し、どのパターンが重なりやすかったか、従来型脅威とどう関係していたか、そして何がまだ未証明なのかを分けて示す。

Key Findings

1. 228サーバー（7.9%）で少なくとも1つのMCP固有脅威シグナルが観測された。
2. Prompt Injection・Function Hijacking・PleaseFix Attackは、今回のデータでは同じ134サーバーで観測された。
3. Indirect Theftは113サーバーで観測され、外部送信やサーバー間リレーと結びついていた。
4. 今回のデータでは、MCP固有脅威シグナルだけが単独で出たサーバーはなかった。
5. **MCP固有脅威シグナルがあったサーバーのBLOCK率は58.8%**で、従来型脅威のみだったサーバーの32.7%より高かった。
6. Tool Poisoning と Tool Name Collision は、今回の観測範囲では0件だった。

データセット

項目	値
全体母集団	2,869固有MCPサーバー
MCP固有脅威シグナルの対象パターン	6種類
1つ以上のMCP固有脅威シグナルが観測されたサーバー	228
観測期間	2026年4月

MCP固有脅威シグナルの観測状況

脅威パターン	観測数	観測率
Prompt Injection	134	4.7%
PleaseFix Attack	134	4.7%
Function Hijacking	134	4.7%
Indirect Theft	113	3.9%
Tool Poisoning	0	0.0%
Tool Name Collision	0	0.0%

最初に目立つのは、上位3パターンの観測数が完全に一致している点である。
この一致が、どの機能の組み合わせと結びついていたかを見ることが本稿の中心になる。

134サーバーで重なった3つのシグナル

共起分析では、次の3組がすべて134サーバーで一致した。

脅威ペア	共起サーバー数
Prompt Injection + PleaseFix Attack	134
Prompt Injection + Function Hijacking	134
PleaseFix Attack + Function Hijacking	134

今回のデータでは、この3つのシグナルは同じサーバー群でまとめて観測された。
その重なりは、第4回で見た動的コード実行機能を持つ134サーバーとほぼ一致している。

ここで言えるのは、「このデータでは3つのシグナルが同じ能力群に集中していた」ということまでである。
「常に絶対そうなる」とまでは言えないが、少なくとも今回の観測では、AIエージェントの操作と実行系能力が同じサーバーに集まると、3つのシグナルがまとめて出やすかった。

Indirect Theft は別経路からも出ていた

Indirect Theft は113サーバーで観測された。
3つの重なりグループと一部は重なるが、同じ形ではない。

比較項目	3つの重なりグループ	Indirect Theft
観測数	134	113
結びつきやすい能力	動的コード実行	外部送信 / サーバー間リレー
重なり方	同じ134サーバーで共起	一部のみ重複

Indirect Theft が観測された113サーバーのうち、

関連しやすい能力	サーバー数	比率
外部送信	88	77.9%
サーバー間リレー	38	33.6%

一部のサーバーは両方を持つため、合計は113を超える。
この結果は、MCP固有脅威シグナルがすべて同じ経路から出るわけではないことを示している。コード実行がなくても、外部送信やサーバー間リレーがあれば別の形でリスクが立ち上がる。

また、Prompt Injection が観測された134サーバーのうち、Indirect Theft も同時に観測されたのは19サーバー（14.2%）だった。
つまり、Indirect Theft は3つの重なりグループに一部含まれるが、それだけでは説明できない。

従来型脅威との関係

サーバー分類	サーバー数
従来型脅威のみ	257
MCP固有脅威のみ	0
両方	228
脅威なし	2,384

今回のデータでは、MCP固有脅威シグナルだけが単独で観測されたサーバーは0件だった。

これは、「MCP固有脅威は常に理論的に従来型脅威を伴う」と証明したわけではない。
ただし、今回の観測では、MCP固有脅威シグナルを生みやすい能力が、同時に従来型の攻撃面とも重なっていたと読むのが自然である。

228サーバーにおける平均脅威数は次の通り。

指標	値
平均総脅威数	4.7
平均MCP固有脅威数	2.3
平均従来型脅威数	2.4

MCP固有と従来型がほぼ同数で観測されているため、どちらか片方だけを見ると全体像を外しやすい。

BLOCK率の比較

サーバー分類	サーバー数	BLOCK	BLOCK率
MCP固有脅威シグナルあり	228	134	58.8%
従来型脅威のみ	257	84	32.7%

MCP固有脅威シグナルが観測されたサーバー群の方が、BLOCK率は高かった。
ただし、ここから直接「MCP固有脅威シグナルそのものがBLOCK率を押し上げた」と因果断定するのは早い。実際には、コード実行や外部送信のような高リスク能力が同時に存在していたことが、この差に強く効いている可能性が高い。

0件だった2つのパターン

脅威パターン	観測数	今回の観測範囲での主な理由
Tool Poisoning	0	ツール定義の意図や誘導性の評価が必要で、単純な集計では捉えにくい
Tool Name Collision	0	複数サーバーを同時利用する環境依存で、単一サーバー観測では見えにくい

0件という結果は、「その脅威が存在しない」という意味ではない。
むしろ、現在の観測範囲や単一サーバー中心の集計では、拾いにくい種類である可能性が高い。

従来型ツールだけでは見えにくい理由

MCP固有脅威シグナルは、従来のWebセキュリティツールでは通常は評価対象になりにくい。理由は3つある。

1. AIエージェントが介在する

Prompt Injection や PleaseFix Attack は、ユーザー入力だけではなく、AIエージェントの判断とツール実行の連鎖を前提にする。従来の検査は、この経路全体を対象にしていないことが多い。

2. MCPの意味論を理解する必要がある

Function Hijacking や Tool Poisoning は、ツール定義とAIエージェント側の解釈をセットで見ないと評価しにくい。これは一般的なWAFやSASTの守備範囲から外れやすい。

3. セッション文脈が必要になる

Indirect Theft は、どのデータがどこに流れたかという文脈が重要である。同じ外部送信でも正当な業務か、窃取に近いかはセッション全体を見ないと判断しにくい。

限界

1. 本稿の検出は、攻撃が実行された証拠ではなく、脅威パターンの前提条件が観測されたという意味である。
2. Tool Poisoning と Tool Name Collision の0件は、観測範囲の限界を強く受ける。
3. 今回の「同じ134サーバーで重なった」という結果は観測事実であり、将来の全データでも同じ比率になるとは限らない。
4. 本稿は2,869の固有サーバーに基づくスナップショットであり、MCPエコシステム全体を完全に網羅するものではない。

まとめ

2,869の固有MCPサーバーのうち、228サーバーでMCP固有脅威シグナルが観測された。
そのうち、Prompt Injection・Function Hijacking・PleaseFix Attack は同じ134サーバーで重なり、Indirect Theft は外部送信やサーバー間リレーを通じて別経路からも立ち上がっていた。

今回のデータが示しているのは、MCP固有脅威と従来型脅威を分けて考えるだけでは不十分だという点である。
実務上は、AI固有の攻撃面と従来型の攻撃面が、同じサーバーの中でどのように重なるかを見る必要がある。

---

MCP Guard は、MCP固有脅威シグナルと従来型脅威シグナルの重なりを継続的に観測している。