MCPサーバーのセキュリティは大丈夫?MCP対応ツールの脆弱性チェック

MCPサーバーのセキュリティは大丈夫?MCP対応ツールの脆弱性チェック

AIエージェントの活用が広がるにつれ、外部ツールと連携する「MCPサーバー」が急速に増えています。便利になる一方で、2026年に入り、MCPサーバーのセキュリティ上の問題が国内外で相次いで報告されるようになりました。

このページは、すでに使うツールを決めた方が「あのMCPサーバーは大丈夫?」を確かめるためのものです。当メディアが掲載する国内最大級のMCPサーバー一覧を対象に、各ツールに関わるセキュリティ報告が公開されていないかを継続的に確認しています。下の検索ボックスにツール名を入れてお使いください。

MCPサーバーのセキュリティリスク、5つの型

専門家が指摘するリスクは、大きく次の5つに整理できます。図で、AIエージェントとの接続のどこに危険が潜むのかを確認してください。

AIエージェントがMCPサーバー経由で外部ツールに接続する際の5つのセキュリティリスク(ツールの偽装・あとから豹変・権限の乗っ取り・配布経路への混入・サーバー自体の欠陥)の図解

リスクの型 かんたんに言うと
① ツールの偽装 ツールの説明文に、AIをだます指示をこっそり仕込む手口。AIが説明文を読んだだけで不正な操作に誘導されることがあります。
② あとから豹変(ラグプル) 最初は安全なツールが、承認された後にこっそり中身を書き換えられる手口。導入時に問題なくても油断できません。
③ 権限の乗っ取り 複数のツールをつないでいるとき、あるツールが別のツールの強い権限を横取りして悪用する手口です。
④ 配布経路への混入 公開されている配布先(レジストリ)に、偽物・改ざん版が紛れ込む手口。「公式そっくり」で見分けにくいのが厄介です。
⑤ サーバー自体の欠陥 MCPサーバーの作り自体に穴があり、外部から情報を抜かれたり操作されたりする問題です。

あなたのツールは大丈夫?(掲載ツールを名前で確認)

このチェッカーの立場

  • 当メディアは個々のMCPサーバーを診断・監査する立場ではありません。外部の公開情報を継続的に確認し、当ディレクトリ掲載ツールに関わる報告だけを平易に要約しています。
  • 「報告確認なし」=安全という保証ではありません。報告の多くは、すでに提供元によって修正済みです。
  • 深刻度(Critical/High/Medium)は出典元の評価やCVSSスコアにもとづく参考値であり、当社独自の判定ではありません。
  • ℹ️ 非公式版の報告ありは、同じ名前の非公式の実装・プラグインに関する報告です。クリックすると、当ディレクトリ掲載の公式版とは無関係であることを確認できます。
14
公開報告が確認できたツール
10
うち修正・提供終了で解消
115
確認対象(掲載ツール総数)
まずは報告・参考情報がある19件を表示中。ツール名を入れると全115件から検索します。
1Password Environmentsセキュリティ報告確認なし
Adobe Creative Cloudデザイン報告確認なし
AdRoll広告運用・SNS報告確認なし
AhrefsSEO・アクセス分析報告確認なし
Airtableデータ分析・BI報告確認なし
Asanaタスク・プロジェクト管理⚠ 報告あり
公式MCPサーバー深刻度:High(出典元評価の参考値)

不具合により、自社のデータが他の契約企業からも見える状態になっていた事案(約1,000社・約34日間)。提供元が修正済みで、悪用の報告はありません。データ分離の重要性を示した事例です。

状態:修正済み・悪用報告なし出典を見る →
AWSクラウドインフラ⚠ 報告あり
公式MCPサーバー群深刻度:Critical(出典元評価の参考値)

一部のMCPサーバーに、外部から認証なしで不正な命令を実行されうる欠陥。提供元が公式のセキュリティ速報で修正を案内済みです。

状態:修正案内済み出典を見る →
AWS for SAP Managementクラウドインフラ報告確認なし
Azureクラウドインフラ⚠ 報告あり
公式 Azure MCP Server深刻度:Critical(出典元評価の参考値)

情報漏洩や不正な操作につながりうる複数の欠陥が報告され、提供元が修正済み。クラウド系MCPは権限が大きいぶん影響も大きい、という教訓になった事例です。

状態:修正済み出典を見る →
Backlog開発プロジェクト管理報告確認なし
BigQueryデータベース⚠ 報告あり
公式ツールキット(MCP Toolbox)深刻度:Critical(出典元評価の参考値)

データベース接続用の公式ツールキットに、設定の不備を突いて外部から操作されうる欠陥。提供元が2026年5月に修正版を公開済みです。

状態:修正済み出典を見る →
blastengineメッセージ配信・チャットマーケ報告確認なし
Boxファイル・ストレージ報告確認なし
Brave Searchリサーチ・調査報告確認なし
Canvaデザイン報告確認なし
Chatworkビジネスチャット報告確認なし
Cloudflare開発・デプロイ基盤報告確認なし
ConoHa VPSクラウドインフラ報告確認なし
Discordビジネスチャット報告確認なし
Docker開発ツールℹ️ 非公式版の報告あり
この名前で報告が見つかったのはnode-code-sandbox-mcp(非公式・サンドボックス実行系ツール)です。当ディレクトリ掲載のDocker, Inc.公式版はこの報告の対象外です。
深刻度(別実装側):High(出典元評価の参考値)

Dockerコンテナ内でコードを安全に実行させるはずの非公式ツールに、コマンドインジェクションでサンドボックスの外(ホスト側)まで操作されうる欠陥(CVE-2025-53372)が報告されました。当ディレクトリ掲載のDocker, Inc.公式版とは無関係です。

状態:修正済み(v1.3.0以降)出典を見る →

Docker, Inc.の公式ページを見る →

Dropboxファイル・ストレージ報告確認なし
e-Stat(政府統計)政府・公共データ報告確認なし
esaCMS・コンテンツ報告確認なし
Figmaデザインℹ️ 非公式版の報告あり
この名前で報告が見つかったのはFramelink Figma MCP Server(非公式・月間10万DL規模の人気プロジェクト)です。当ディレクトリ掲載のFigma, Inc.公式版はこの報告の対象外です。
深刻度(別実装側):High(出典元評価の参考値)

非公式の「Framelink Figma MCP Server」に、コマンドインジェクションによるリモートコード実行の欠陥(CVE-2025-53967)が発見されました。開発元は当ディレクトリ掲載の公式Figma MCP Serverへの移行を推奨しています。

状態:修正済み(v0.6.3以降)出典を見る →

Figma, Inc.の公式ページを見る →

freee会計会計報告確認なし
Frictio営業支援報告確認なし
Garoonメール・会議ツール報告確認なし
GitHub開発ツール⚠ 報告あり
公式MCPサーバー深刻度:Critical(出典元評価の参考値)

公開の書き込み(Issue)に紛れ込ませた指示文をAIが読むと、非公開リポジトリの情報を外部へ持ち出すよう誘導されうる、という報告。接続権限を必要最小限に絞ることが推奨されています。

状態:設計上の課題として対応継続出典を見る →
GitLab開発ツールℹ️ 非公式版の報告あり
この名前で報告が見つかったのは@zereight/mcp-gitlab(第三者による非公式実装)です。当ディレクトリ掲載のGitLab Inc.公式版はこの報告の対象外です。
深刻度(別実装側):Medium(出典元評価の参考値)

第三者が開発したGitLab用MCPサーバー(バージョン2.0.0〜2.0.20)に、意図しない外部IPアドレスへ接続を許してしまう設定不備が報告されました。当ディレクトリ掲載のGitLab Inc.公式版とは無関係です。

状態:修正済み(パッチ版へ更新)出典を見る →

GitLab Inc.の公式ページを見る →

Google Analytics(GA4)SEO・アクセス分析報告確認なし
Google Cloud(GCP)クラウドインフラ⚠ 報告あり
公式ツールキット(MCP Toolbox)深刻度:Critical(出典元評価の参考値)

データベース接続用の公式ツールキットに、設定の不備を突いて外部から操作されうる欠陥。提供元が2026年5月に修正版を公開済みです。

状態:修正済み出典を見る →
Google Colab開発ツール報告確認なし
Google Drive / Sheetsファイル・ストレージ報告確認なし
Google Workspaceメール・会議ツール報告確認なし
HubSpotCRM報告確認なし
Jicooメール・会議ツール報告確認なし
Jira / Confluence開発プロジェクト管理報告確認なし
Jootoタスク・プロジェクト管理報告確認なし
kintoneタスク・プロジェクト管理報告確認なし
KSPデータ分析・BI報告確認なし
Langfuse開発ツール報告確認なし
LINE Messaging APIビジネスチャット報告確認なし
Linear開発プロジェクト管理報告確認なし
LISTENCMS・コンテンツ報告確認なし
makeshopEC報告確認なし
MDNリサーチ・調査報告確認なし
microCMSCMS・コンテンツ報告確認なし
Microsoft Teamsビジネスチャット報告確認なし
MiiTel営業支援報告確認なし
Miroデザイン報告確認なし
Monday.comタスク・プロジェクト管理報告確認なし
MongoDBデータベース報告確認なし
MySQLデータベース報告確認なし
n8n自動化ツールℹ️ 非公式版の報告あり
この名前で報告が見つかったのはn8n-mcp(第三者による非公式実装)です。当ディレクトリ掲載のn8n GmbH公式版はこの報告の対象外です。
深刻度(別実装側):Critical(出典元評価の参考値)

第三者が開発したn8n用MCPサーバーの外部セキュリティ監査(2025年10月)で、コマンドインジェクション(CVSS 9.8)を含む複数の脆弱性が指摘されました。当ディレクトリ掲載のn8n GmbH公式版とは無関係です。

状態:監査での指摘・修正状況は要継続確認出典を見る →

n8n GmbHの公式ページを見る →

New Relicクラウドインフラ報告確認なし
NEWT旅行・観光報告確認なし
Notionタスク・プロジェクト管理⚠ 報告あり
公式MCPサーバー深刻度:High(出典元評価の参考値)

共有・取り込んだページの中に紛れ込ませた指示文によって、ワークスペースの内容を書き換えられる恐れがある、という報告。外部から受け取ったページをAIに読ませる際は注意が必要です。

状態:報告あり出典を見る →
obnizIoT・ハードウェア報告確認なし
Obsidianファイル・ストレージ⚠ 報告あり
コミュニティ実装深刻度:High(出典元評価の参考値)

本来アクセスできるはずのない保存領域の外のファイルまで読み書きできてしまう欠陥。2026年6月に修正版が公開済みです。

状態:修正済み出典を見る →
OneDrive / SharePointファイル・ストレージ報告確認なし
Oracle Autonomous AI Databaseデータベース報告確認なし
OrcaRouterマルチLLM接続報告確認なし
PayPal決済報告確認なし
Perplexityリサーチ・調査報告確認なし
Picaro.ai広告運用・SNS報告確認なし
Playwright自動化ツール⚠ 報告あり
Microsoft公式MCP深刻度:Critical(出典元評価の参考値)

ブラウザ操作機能の保護を回避して、利用者の端末上で不正な命令実行につながりうる報告。一部は修正済みですが、追加の報告について対応が続いています。

状態:一部対応継続中出典を見る →
PostgreSQLデータベース⚠ 報告あり
Anthropic参考実装 ※提供終了深刻度:High(出典元評価の参考値)

読み取り専用のはずの制限を回避できる欠陥の報告。この参考実装自体が2025年7月に非推奨となり提供終了しています。後継の修正版(別提供元)が案内されています。

状態:提供終了(非推奨化)出典を見る →
Postman開発ツール報告確認なし
Puente MCP Hub政府・公共データ報告確認なし
Puppeteer自動化ツール⚠ 報告あり
Anthropic参考実装 ※提供終了深刻度:High(出典元評価の参考値)

内部ネットワークへの不正アクセスや、外部ページ経由の指示文混入につながりうる報告。この参考実装は既に提供終了(アーカイブ)となっており、修正予定はありません。利用中の場合は代替への移行が推奨されます。

状態:提供終了・修正予定なし出典を見る →
Redmine開発プロジェクト管理報告確認なし
Rovo開発プロジェクト管理報告確認なし
SalesforceCRM報告確認なし
SalesNowデータ分析・BI報告確認なし
Sansan営業支援報告確認なし
Scale人事評価人事・労務報告確認なし
SemrushSEO・アクセス分析報告確認なし
ServiceNowIT運用・ヘルプデスク報告確認なし
ShopifyEC⚠ 報告あり
公式MCPサーバー深刻度:Medium(出典元評価の参考値)

商品説明文に紛れ込ませた指示文で、AIの商品検索結果が操作されうる、という研究者の報告。AIに買い物を任せる時代の新しい注意点を示した事例です。

状態:報告あり出典を見る →
Slackビジネスチャット報告確認なし
smartround金融・証券報告確認なし
Snowflakeデータベース報告確認なし
SORACOM Knowledgeリサーチ・調査報告確認なし
Splunkセキュリティ⚠ 報告あり
公式MCPサーバー深刻度:Medium(出典元評価の参考値)

接続用の鍵が記録ファイルに読める形のまま残ってしまう欠陥。外部からではなく内部関係者のリスクですが、提供元が修正版を公開済みです。

状態:修正版で解消済み出典を見る →
Square決済報告確認なし
Stripe決済報告確認なし
Supabase開発・デプロイ基盤⚠ 報告あり
公式MCPサーバー深刻度:High(出典元評価の参考値)

利用者が投稿したデータに紛れ込ませた指示文で、データベース内の非公開情報を引き出せることが研究で示された事例。提供元は読み取り専用モードの追加などの緩和策を実装済みです。

状態:緩和策 実装済み出典を見る →
SUZURIEC報告確認なし
Tableauデータ分析・BI報告確認なし
Terraform開発ツール報告確認なし
toittaリサーチ・調査報告確認なし
Tumikiセキュリティ報告確認なし
Vercel開発・デプロイ基盤報告確認なし
Webull金融・証券報告確認なし
WordPressCMS・コンテンツℹ️ 非公式版の報告あり
この名前で報告が見つかったのはAI Engine(WordPress用の人気プラグイン。約10万サイトで利用)です。当ディレクトリ掲載のAutomattic公式版はこの報告の対象外です。
深刻度(別実装側):Critical(出典元評価の参考値)

WordPress用プラグイン「AI Engine」のMCP機能(No-Auth URL設定)に、認証なしで管理者権限を乗っ取られる重大な欠陥(CVE-2025-11749・CVSS 9.8)が発見され、約10万サイトが影響を受けました。WordPress本体や当ディレクトリ掲載のAutomattic公式MCPサーバーとは無関係です。

状態:修正済み(v3.1.4以降。有効化していたサイトはトークン再発行が必要)出典を見る →

Automatticの公式ページを見る →

xMCP広告運用・SNS報告確認なし
Xserverドメイン・ホスティング報告確認なし
zaico在庫管理報告確認なし
Zapier自動化ツール⚠ 報告あり
公式MCP深刻度:Medium(出典元評価の参考値)

複数の問題を組み合わせた検証の中で、MCPの接続キーが外部から見える場所に残っていたことが確認された事案。2026年3月までに修正済みで、実害の報告はありません。

状態:修正済み・実害報告なし出典を見る →
ZohoCRM報告確認なし
Zoomメール・会議ツール報告確認なし
エルサイト(lsite)メッセージ配信・チャットマーケ報告確認なし
エルメ(L Message)メッセージ配信・チャットマーケ報告確認なし
カラーミーショップ AIコネクターEC報告確認なし
クリプタクト会計報告確認なし
ストアレコードデータ分析・BI報告確認なし
ナレッジワーク営業支援報告確認なし
マネーフォワード クラウド会計会計報告確認なし
ムームードメインドメイン・ホスティング報告確認なし
メルカリEC報告確認なし
ロジクラ在庫管理報告確認なし
気象データMCPサーバ気象・地理データ報告確認なし
法人番号API(gBizINFO)政府・公共データ報告確認なし
絶対リーチ!RCSメッセージ配信・チャットマーケ報告確認なし
駅すぱあと交通・モビリティ報告確認なし
該当するツールが見つかりませんでした。掲載一覧にないツールかもしれません(一覧で確認)。

導入前に確認したい4つのポイント

当メディアは「安全」とも「危険」とも断定しません。代わりに、導入を判断するときにご自身で確認できる観点をお渡しします。

Q1提供元は公式か? 同じサービス名でも、公式が出したものと第三者が作ったものは別物です。誰が作ったかを必ず確認しましょう。
Q2ローカルかリモートか? 自分のパソコンで動くタイプか、外部サーバー経由かで、注意すべき点が変わります。
Q3認証方式は? 接続に使う鍵の方式(OAuth・APIキー・認証なし)を確認します。「認証なし」は特に慎重に。
Q4権限は絞れるか? 必要最小限の権限だけを渡せるか。全権限を求めるものは、その必要性を確かめましょう。

より詳しい判断軸は MCPサーバーの選び方 で解説しています。

出典・参考にした情報源

本ページの各報告は、以下をはじめとする外部の公開情報を要約したものです。詳細・最新状況は必ず一次情報でご確認ください。

無料ニュースレター
AIの大事な変化を、見逃さない。

海外の最新AIニュースも、公式発表から日本語に要約してお届け。
「毎日忙しいけど、AIの最先端は知っておきたい」——そんな人のための1通です。

無料で読みはじめる → 🎁読者限定|AI活用ガイド進呈
運営:AIエージェント専門メディア編集部|登録無料・いつでも解除可能
AIニュースを読む様子