MCPサーバーのセキュリティは大丈夫?MCP対応ツールの脆弱性チェック

AIエージェントの活用が広がるにつれ、外部ツールと連携する「MCPサーバー」が急速に増えています。便利になる一方で、2026年に入り、MCPサーバーのセキュリティ上の問題が国内外で相次いで報告されるようになりました。
このページは、すでに使うツールを決めた方が「あのMCPサーバーは大丈夫?」を確かめるためのものです。当メディアが掲載する国内最大級のMCPサーバー一覧を対象に、各ツールに関わるセキュリティ報告が公開されていないかを継続的に確認しています。下の検索ボックスにツール名を入れてお使いください。
MCPサーバーのセキュリティリスク、5つの型
専門家が指摘するリスクは、大きく次の5つに整理できます。図で、AIエージェントとの接続のどこに危険が潜むのかを確認してください。

| リスクの型 | かんたんに言うと |
|---|---|
| ① ツールの偽装 | ツールの説明文に、AIをだます指示をこっそり仕込む手口。AIが説明文を読んだだけで不正な操作に誘導されることがあります。 |
| ② あとから豹変(ラグプル) | 最初は安全なツールが、承認された後にこっそり中身を書き換えられる手口。導入時に問題なくても油断できません。 |
| ③ 権限の乗っ取り | 複数のツールをつないでいるとき、あるツールが別のツールの強い権限を横取りして悪用する手口です。 |
| ④ 配布経路への混入 | 公開されている配布先(レジストリ)に、偽物・改ざん版が紛れ込む手口。「公式そっくり」で見分けにくいのが厄介です。 |
| ⑤ サーバー自体の欠陥 | MCPサーバーの作り自体に穴があり、外部から情報を抜かれたり操作されたりする問題です。 |
あなたのツールは大丈夫?(掲載ツールを名前で確認)
- 当メディアは個々のMCPサーバーを診断・監査する立場ではありません。外部の公開情報を継続的に確認し、当ディレクトリ掲載ツールに関わる報告だけを平易に要約しています。
- 「報告確認なし」=安全という保証ではありません。報告の多くは、すでに提供元によって修正済みです。
- 深刻度(Critical/High/Medium)は出典元の評価やCVSSスコアにもとづく参考値であり、当社独自の判定ではありません。
- ℹ️ 非公式版の報告ありは、同じ名前の非公式の実装・プラグインに関する報告です。クリックすると、当ディレクトリ掲載の公式版とは無関係であることを確認できます。
Asanaタスク・プロジェクト管理⚠ 報告あり
不具合により、自社のデータが他の契約企業からも見える状態になっていた事案(約1,000社・約34日間)。提供元が修正済みで、悪用の報告はありません。データ分離の重要性を示した事例です。
AWSクラウドインフラ⚠ 報告あり
一部のMCPサーバーに、外部から認証なしで不正な命令を実行されうる欠陥。提供元が公式のセキュリティ速報で修正を案内済みです。
Azureクラウドインフラ⚠ 報告あり
情報漏洩や不正な操作につながりうる複数の欠陥が報告され、提供元が修正済み。クラウド系MCPは権限が大きいぶん影響も大きい、という教訓になった事例です。
BigQueryデータベース⚠ 報告あり
データベース接続用の公式ツールキットに、設定の不備を突いて外部から操作されうる欠陥。提供元が2026年5月に修正版を公開済みです。
Docker開発ツールℹ️ 非公式版の報告あり
Dockerコンテナ内でコードを安全に実行させるはずの非公式ツールに、コマンドインジェクションでサンドボックスの外(ホスト側)まで操作されうる欠陥(CVE-2025-53372)が報告されました。当ディレクトリ掲載のDocker, Inc.公式版とは無関係です。
Figmaデザインℹ️ 非公式版の報告あり
非公式の「Framelink Figma MCP Server」に、コマンドインジェクションによるリモートコード実行の欠陥(CVE-2025-53967)が発見されました。開発元は当ディレクトリ掲載の公式Figma MCP Serverへの移行を推奨しています。
GitHub開発ツール⚠ 報告あり
公開の書き込み(Issue)に紛れ込ませた指示文をAIが読むと、非公開リポジトリの情報を外部へ持ち出すよう誘導されうる、という報告。接続権限を必要最小限に絞ることが推奨されています。
GitLab開発ツールℹ️ 非公式版の報告あり
第三者が開発したGitLab用MCPサーバー(バージョン2.0.0〜2.0.20)に、意図しない外部IPアドレスへ接続を許してしまう設定不備が報告されました。当ディレクトリ掲載のGitLab Inc.公式版とは無関係です。
Google Cloud(GCP)クラウドインフラ⚠ 報告あり
データベース接続用の公式ツールキットに、設定の不備を突いて外部から操作されうる欠陥。提供元が2026年5月に修正版を公開済みです。
n8n自動化ツールℹ️ 非公式版の報告あり
第三者が開発したn8n用MCPサーバーの外部セキュリティ監査(2025年10月)で、コマンドインジェクション(CVSS 9.8)を含む複数の脆弱性が指摘されました。当ディレクトリ掲載のn8n GmbH公式版とは無関係です。
Notionタスク・プロジェクト管理⚠ 報告あり
共有・取り込んだページの中に紛れ込ませた指示文によって、ワークスペースの内容を書き換えられる恐れがある、という報告。外部から受け取ったページをAIに読ませる際は注意が必要です。
Obsidianファイル・ストレージ⚠ 報告あり
本来アクセスできるはずのない保存領域の外のファイルまで読み書きできてしまう欠陥。2026年6月に修正版が公開済みです。
Playwright自動化ツール⚠ 報告あり
ブラウザ操作機能の保護を回避して、利用者の端末上で不正な命令実行につながりうる報告。一部は修正済みですが、追加の報告について対応が続いています。
PostgreSQLデータベース⚠ 報告あり
読み取り専用のはずの制限を回避できる欠陥の報告。この参考実装自体が2025年7月に非推奨となり提供終了しています。後継の修正版(別提供元)が案内されています。
Puppeteer自動化ツール⚠ 報告あり
内部ネットワークへの不正アクセスや、外部ページ経由の指示文混入につながりうる報告。この参考実装は既に提供終了(アーカイブ)となっており、修正予定はありません。利用中の場合は代替への移行が推奨されます。
ShopifyEC⚠ 報告あり
商品説明文に紛れ込ませた指示文で、AIの商品検索結果が操作されうる、という研究者の報告。AIに買い物を任せる時代の新しい注意点を示した事例です。
Splunkセキュリティ⚠ 報告あり
接続用の鍵が記録ファイルに読める形のまま残ってしまう欠陥。外部からではなく内部関係者のリスクですが、提供元が修正版を公開済みです。
Supabase開発・デプロイ基盤⚠ 報告あり
利用者が投稿したデータに紛れ込ませた指示文で、データベース内の非公開情報を引き出せることが研究で示された事例。提供元は読み取り専用モードの追加などの緩和策を実装済みです。
WordPressCMS・コンテンツℹ️ 非公式版の報告あり
WordPress用プラグイン「AI Engine」のMCP機能(No-Auth URL設定)に、認証なしで管理者権限を乗っ取られる重大な欠陥(CVE-2025-11749・CVSS 9.8)が発見され、約10万サイトが影響を受けました。WordPress本体や当ディレクトリ掲載のAutomattic公式MCPサーバーとは無関係です。
Zapier自動化ツール⚠ 報告あり
複数の問題を組み合わせた検証の中で、MCPの接続キーが外部から見える場所に残っていたことが確認された事案。2026年3月までに修正済みで、実害の報告はありません。
導入前に確認したい4つのポイント
当メディアは「安全」とも「危険」とも断定しません。代わりに、導入を判断するときにご自身で確認できる観点をお渡しします。
より詳しい判断軸は MCPサーバーの選び方 で解説しています。
出典・参考にした情報源
本ページの各報告は、以下をはじめとする外部の公開情報を要約したものです。詳細・最新状況は必ず一次情報でご確認ください。
- The Vulnerable MCP Project(海外)
- トレンドマイクロ リサーチ(国内)
- GMO Flatt Security ブログ(国内)
- 各報告の個別出典は、チェッカー内の「出典を見る」リンクからご確認いただけます。
海外の最新AIニュースも、公式発表から日本語に要約してお届け。
「毎日忙しいけど、AIの最先端は知っておきたい」——そんな人のための1通です。




