2026年第1四半期、AIエージェントセキュリティの世界で3つの事件が立て続けに起きた。MCP(Model Context Protocol)サーバーの大規模脆弱性調査、Metaでの暴走AIエージェントによるデータ漏洩、OpenAIのCodex Securityが見つけた1万件超の高重大度脆弱性。これらはそれぞれ独立した出来事のように見えるが、根っこにある問題は同じだ。
AIエージェントは高い権限を持ち、複数のシステムをまたいで動く。しかしセキュリティの設計は2010年代のウェブアプリケーション水準のままだ。この記事では、Q1に起きたことを時系列で整理し、共通パターンと対策を考える。
1月〜2月: MCPサーバー、30日間で30件のCVE
2026年1月から2月にかけて、セキュリティ研究者がMCPサーバー・クライアント・インフラに対して30件以上のCVEを申請した。最も深刻なものはCVSS 9.6のリモートコード実行(RCE)脆弱性で、対象パッケージの累計ダウンロード数は約50万回に達していた。
BlueRock Securityが7,000台以上のMCPサーバーを対象にスキャンした調査では、外部URLを受け入れるサーバーのうち36.7%がSSRF(Server-Side Request Forgery)への露出を持つことが判明した。SSRFは攻撃者がサーバーを「代理人」として使い、内部ネットワークや認証が必要なリソースへアクセスする古典的な手法だ。
2026年3月10日には、MicrosoftがAzure MCP Server ToolsのSSRF脆弱性(CVE-2026-26118、CVSS 8.8)をPatch Tuesdayで修正した。低権限の攻撃者がユーザー入力を操作することで、サーバーを攻撃者が制御するエンドポイントへの不正リクエスト送信に使えるという内容だった。
なぜこれほど脆弱性が集中するのか。MCP Server Authorsは多くの場合、システムエンジニアやMLエンジニアだ。Webセキュリティの専門家ではない。OWASPが2026年2月に公開した「MCP Server開発のための実践的セキュリティガイド」は、2010年代のWebアプリケーション脆弱性がAIインフラに再現していると指摘している。
3月18日〜20日: MetaでAIエージェントが暴走、2時間のデータ漏洩
2026年3月18日、Metaの社内でAIエージェントが引き起こした「Sev 1」インシデントが起きた。TechCrunchとVentureBeatが3月18〜20日に相次いで報じた内容をまとめる。
あるエンジニアが社内ディスカッションフォーラムに投稿された技術的な質問を、AIエージェントに解析させた。エージェントは回答を自律的にフォーラムへ投稿した(エンジニアの承認なし)。別のエンジニアがその回答を参照して行動した結果、アクセス制御の設定が変更された。本来アクセス権を持たない内部エンジニアたちが大量の社内データ・ユーザーデータを閲覧できる状態になり、その暴露は約2時間続いた。
これがConfused Deputy問題と呼ばれるクラスの攻撃パターンに当てはまる。AIエージェントが「誰の権限で動いているのか」を正確に識別できず、高権限の動作を低権限のリクエストに適用してしまった。OWASPはこれを2026年2月のガイドで「名前のついた脅威クラス」として正式に分類している。
VentureBeatの報告によると、Metaの認証・認可システムはエージェントの動作に対して「認証成功後の横断的な権限エスカレーション」を検知する仕組みを持っていなかった。ログインは通過した。しかしその後にエージェントが取った行動の「正当性」を評価するレイヤーが存在しなかった。
3月6日: OpenAI Codex Securityが1.2百万コミットから1万件の脆弱性を検出
2026年3月6日、OpenAIはCodex Securityの研究プレビューを公開した。AIが自律的にリポジトリをスキャンし、脆弱性を発見・検証・修正提案まで行うエージェントだ。
ベータ期間中の実績として発表された数字がある。外部リポジトリ120万コミット以上をスキャンし、792件のCritical、10,561件の高重大度脆弱性を検出した。対象にはOpenSSH・GnuTLS・GOGS・PHP・Chromiumが含まれる。
注目すべきは性能の改善曲線だ。同一リポジトリを継続的にスキャンするうちに、偽陽性率が50%以上低下したとされている。AIが特定のコードベースの「正常な状態」を学習することで、アラートの精度が上がっていく。これは従来のSASTツール(静的解析)にはない特性だ。
CodexのセキュリティエージェントはChatGPT Pro・Enterprise・Business・Eduユーザーに無料開放中(2026年3月時点)。セキュリティエンジニアリングのエージェント化という観点では、この動きは重要なシグナルだ。
Q1全体を通して見えること
3つの事象を並べると、共通するパターンが浮かぶ。
| 事象 | 攻撃/失敗の分類 | 根本原因 |
|---|---|---|
| MCPサーバーSSRF(36.7%) | 入力バリデーション不足 | セキュリティ専門家でない開発者が急速にMCPサーバーを量産 |
| Meta暴走AIエージェント | 権限エスカレーション(Confused Deputy) | 認証は通過したが、実行後の行動の正当性評価レイヤーが欠如 |
| Codex Security: 1万件検出 | コードベースの既存脆弱性(受動的発見) | 既存コードに潜む古典的脆弱性がAIスケールで初めて可視化 |
AIエージェントは「高権限で、自律的に、多数のシステムをまたいで動く」。これは2010年代のWebアプリケーションとは根本的に異なる脅威面積を持つ。しかし組織側のセキュリティ設計は、まだWebアプリケーション時代の発想から抜け出せていないことがQ1の事例から見える。
攻撃手法の分類と防御フレームワーク
MCPサーバーにSSRF対策を実装する最低限のコード例を示す。外部URLの検証ロジックがない場合、内部ネットワークへの不正アクセスが可能になる。
# 動作環境: Python 3.11+, httpx>=0.27
# pip install httpx
import httpx
import ipaddress
from urllib.parse import urlparse
# 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。
BLOCKED_IP_RANGES = [
ipaddress.ip_network('127.0.0.0/8'), # localhost
ipaddress.ip_network('10.0.0.0/8'), # private
ipaddress.ip_network('172.16.0.0/12'), # private
ipaddress.ip_network('192.168.0.0/16'), # private
ipaddress.ip_network('169.254.0.0/16'), # link-local
]
def is_safe_url(url: str) -> bool:
"""SSRFを防ぐための安全なURLかどうかを検証する"""
try:
parsed = urlparse(url)
# HTTPSのみ許可
if parsed.scheme not in ('https',):
return False
# ホスト名からIPを解決してプライベートレンジを拒否
import socket
host = parsed.hostname
if not host:
return False
ip = ipaddress.ip_address(socket.gethostbyname(host))
for blocked_range in BLOCKED_IP_RANGES:
if ip in blocked_range:
return False
return True
except Exception:
return False
def safe_fetch(url: str) -> dict:
"""SSRFを防いだ上でURLの内容を取得するMCPツール関数"""
if not is_safe_url(url):
raise ValueError(f"URLは安全でないリソースを指しています: {url}")
response = httpx.get(url, timeout=10, follow_redirects=False)
return {"status": response.status_code, "content": response.text[:5000]}
動作環境: Python 3.11+, httpx 0.27+
ポイント: リダイレクト追従(follow_redirects=True)はSSRFを誘発しやすいため、MCPサーバーではデフォルトでオフにすること。
2026年Q1に顕在化した攻撃手法を整理する。
1. プロンプトインジェクション
悪意ある入力によってエージェントのシステムプロンプトを上書きまたは無効化する。MCPサーバーへの入力を経由して行われるケースが増えている。対策は入力のサニタイゼーションとシステムプロンプトの分離保護だ。
2. SSRF(Server-Side Request Forgery)
エージェントが外部URLを処理する際、内部ネットワークへのリクエストを誘発する。MCPサーバーの36.7%がこれに該当する。対策は外部URL入力の厳格なバリデーションと、アウトバウンドリクエストの宛先制限だ。
3. Confused Deputy / 権限エスカレーション
エージェントが自身に付与された権限を正当なリクエストと誤って解釈し、意図しない高権限操作を実行する。Metaの事例が典型だ。対策は最小権限原則の徹底と、エージェントの実行ログの監査機能だ。
4. データ漏洩(コンテキスト流出)
エージェントが扱う会話コンテキストや検索結果に含まれる機密情報が、意図しない経路で露出する。MCPのログ設計が不適切な場合に起きやすい。
開発者が今週やるべき3つのこと
具体的なアクションを優先度順に挙げる。
1. 使用しているMCPサーバーのSSRF対策を確認する: 外部URLを処理するMCPサーバーがあれば、アウトバウンドリクエストの宛先をホワイトリストで制限しているかを確認する。Azure MCP Server Toolsを使っている場合は、CVE-2026-26118のパッチが適用されているかを確認すること(Microsoft 2026年3月Patch Tuesday)。
2. AIエージェントの権限スコープを最小化する: エージェントに付与するAPIキーやロールは、実際のタスクに必要な最小限にとどめる。「とりあえずadmin権限」は最悪のパターンだ。Metaの事例が示すように、認証を通過した後のエスカレーションが問題になる。
3. Codex Securityで自分のリポジトリをスキャンする: 2026年3月時点で無料プレビューが利用可能だ。ChatGPT Pro以上のユーザーなら今日試せる。既存コードの脆弱性を発見するコストが大幅に下がっている。
MCPサーバーのセキュリティについてはMCPサーバー脆弱性レポート2026でより詳しく解説しているので参照してほしい。またMeta暴走AIエージェント事件の詳細分析はMeta暴走AIエージェントと企業IAMの4つの盲点に書いた。
参考・出典
- We Scanned 5,618 MCP Servers for Security Vulnerabilities — DEV Community(参照日: 2026-03-22)
- Microsoft Patches Critical Azure MCP SSRF Vulnerability CVE-2026-26118 — Windows News(参照日: 2026-03-22)
- Meta is having trouble with rogue AI agents — TechCrunch(参照日: 2026-03-22)
- Meta’s rogue AI agent: four gaps in enterprise IAM — VentureBeat(参照日: 2026-03-22)
- OpenAI Codex Security Scanned 1.2 Million Commits — The Hacker News(参照日: 2026-03-22)
- Codex Security: now in research preview — OpenAI(参照日: 2026-03-22)
- Anthropic, Microsoft MCP Server Flaws Shine a Light on AI Security Risks — Security Boulevard(参照日: 2026-03-22)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー10万人超。100社以上の企業向けAI研修・導入支援。著書累計3万部突破。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談はお問い合わせフォームからお気軽にどうぞ。
あわせて読みたい:
- MCPサーバー脆弱性レポート2026|7千台調査で36.7%にSSRF発見 — SSRF対策の詳細な実装手順
- Meta暴走AIエージェントと企業IAMの4つの盲点 — Confused Deputy問題の深掘り分析
