悪意の MCP Server を発見:AI Agent を介して Postmark からのメール送信に不正な BCC を追加

Malicious MCP Server Discovered Stealing Sensitive Emails Using AI Agents

2025/09/26 gbhackers — 世界中の企業が MCP サーバを採用している。このツールにより、AI アシスタントに “神モード” の権限が付与され、メール送信/データベース クエリ実行といった面倒なタスクの自動化が可能になる。しかし、「これらのツールを作ったのは誰か」と、立ち止まって問うことは、誰もが見過ごしてきたことだ。今日、現実の世界で初めての、悪意の MCP サーバ postmark-mcp が登場し、そこで処理されるすべてのメールが静かに盗み出されている。

最初のリリース以来、postmark-mcp は毎週 1,500 回ダウンロードされ、数百もの開発者ワークフローにシームレスに統合されている。

postmark-mcp のバージョン 1.0.0〜1.0.15 までの動作は完璧であり、「Postmark との統合には、この優れた MCP サーバを試すとよい」といった、熱烈な推薦を得ている。それは、朝のコーヒーと同じくらい欠かせないものになった。

A simple line that steals thousands of emails.
A simple line that steals thousands of emails.

そして、バージョン 1.0.16 が登場した。しかし、そのコードの 231 行目には、無害に見える1つの命令が隠されている。すべての送信メールを、攻撃者のサーバ (giftshop.club) にコピーする、隠された BCC 命令である。したがって、パスワードリセット/請求書/社内メモ/機密文書などの、あらゆるメールに迷惑な送信が紛れ込んでいる。

発見の経緯

Koi のリスク・エンジンが検知したのは、バージョン 1.0.16 における疑わしい動作だった。研究者たちは、このアップデートを逆コンパイルし、BCC インジェクションを発見した。

postmark-mcp NPM page.
postmark-mcp NPM page.

恐ろしいのは、この攻撃者の手口である。それは、ActiveCampaign の公式 GitHub リポジトリから正規のコードをコピーし、悪意の行を挿入して、同じパッケージ名で npm に公開するというものだった。典型的な成りすまし手法であり、その裏切りの1行さえ除けば、細部に至るまで完璧である。

週ごとのダウンロード数における 20% が実際に使用されていると、控えめに見積もったとしても、約 300 の組織が侵害を受けている。それらの組織が毎日 10~50 通のメールを送信したとすれば、1日あたり 3,000~15,000 件もの不正な情報流出が発生したことになる。

そして、この侵害の勢いは衰える気配がない。なぜなら、開発者は MCP サーバに対して、メールとデータベースへの完全なアクセスを、何の躊躇もなく許可しているのである。

この攻撃が特に狡猾なのは、そのシンプルさである。開発者はゼロデイ攻撃も高度なマルウェア技術も必要としなかった。私たちは、共同体として postmark-mcp 1.0.16 を認め、鍵を委ねたのだ。したがって、以下を許すことになる:

  • 私たちに成りすまして、完全な権限でメールを送信する。
  • 私たちのデータベースにアクセスする。
  • 私たちのシステム上でコマンドを実行する。
  • 私たちの認証情報を使って API 呼び出しを行う。

さらに言えば、サンドボックスも、レビューも、封じ込めもなしに、AI アシスタントを自由に動かすのだ。

MCP が根本的に機能しない理由

MCP サーバは、標準的な npm パッケージとは異なる。MCP サーバは自律的に動作して、AI アシスタントと統合され、すべてのコマンドを疑問なく実行させている。

AI は、隠された BCC フィールドを検出できない。表示されるのは “メール送信成功” だけである。つまり、すべてのメッセージは静かに吸い上げられていく。

悪意の postmark-mcp の作者は、コメントを求められた際に沈黙を守り、証拠を消そうと必死になり、npm からパッケージを削除した。

しかし、npm から削除しても、すでに感染したシステムからは完全には除去されない。これらのパッケージは、毎週 1,500 回もインストールされ、ユーザーはバックドアの存在に気づかず、メールは不正に配布されている。

この問題は、悪意の1人の開発者だけに帰するものではない。言い換えれば、MCP エコシステムに対する警告である。

私たちは、見知らぬ人が提供するツールをインストールし、AI アシスタントが何の制約も受けずに、それらを操作することを当たり前に受け入れてきた。すべてのパッケージが、すべてのアップデートが、私たちの重要なインフラの一部となっている。しかし、ある日、突然として、そうではなくなる。

Koi による対策は、未検証の MCP サーバをブロックし、疑わしいアップデートにフラグを立てることであり、継続的な監視を実施するサプライチェーン・ゲートウェイにより、この脅威に対抗している。

従来のセキュリティ・ツールとは異なり、同社のリスク・エンジンは、被害が発生する前に、隠れた BCC のような異常な動作を検出する。

postmark-mcp バージョン 1.0.16 以降を利用中であれば、いま直ぐに削除し、公開されている認証情報をローテーションすべきである。しかし、今回のインシデントは、より広範な検証を必要とする。環境内のすべての MCP サーバを監査し、厳しく自問自答してほしい。

  • このツールは誰が開発したのか?
  • 作成者を確認できるのか?
  • 定期的なセキュリティレビューを受けているのか?

MCP サーバにおいて、パラノイアは単なる良識である。私たちは、見知らぬ人に対して、神のような権限を与えてしまった。盲目的な信頼ではなく、検証を求めるべき時が来た。

AI Agent にメール送信や DB 操作まで指示する、MCP サーバの “神モード” 権限ついて考えさせてくれる記事です。文中にあるように、MCP エコシステムに対する警告であります。悪意の 1.0.16 の経緯が、ちょっと分かりにくいですが、外部の脅威アクターが postmark-mcp を侵害したのでしょうか? ただし、大量の npm が改竄されるという、最近の Shai-Halud 問題とは手口が異なるようです。とにかく、1行だけで仕込まれる隠し BCC が、開発ワークフローへのシームレス統合により拡散され、資格情報や機密メールが静かに転送される構造は問題ですよね。