Monthly PickUp:2025-04

1. CISAの予算削減と脆弱性管理システムの変革

2025年4月15日:CVE プログラムへの資金提供終了が発表
  • 米国政府が CVE プログラムへの資金提供を終了すると発表
  • 資金停止により、脆弱性管理システムの停止リスクが浮上
    • 脆弱性データベースの更新停止
    • セキュリティツールの機能低下
    • インシデント対応の遅延
2025年4月16日:資金提供の延長が発表
  • CVE プログラムへの資金提供を 11か月延長すると CISA が発表
  • サービス中断は回避されたものの、将来の持続性・独立性確保が課題として残る
2025年4月中旬:新たな動き
  • 非営利団体 CVE Foundation の設立が発表
    • プログラムの独立性と持続可能性を確保
    • 政府依存からの脱却を目指す
    • 今後の運営体制やコミュニティとの連携については、後日発表予定
      .
  • CIRCL が GCVE (Global CVE) システムを発表
    • 従来の CVE プログラムの中央集権型のボトルネックを排除
    • 脆弱性対応のスピードと柔軟性を向上
    • 脆弱性の識別と番号付けを分散型に変更
    • 各認定機関 (GNA:GCVE Numbering Authorities) が独自に ID を付与
    • CIRCL= Computer Incident Response Center Luxembourg
CISA の契約終了通知(2025年4月18日)
  • CISA が VirusTotal と Censys との契約終了を発表
    • Censys は3月末で利用停止済み
    • VirusTotal は4月20日に契約終了予定
  • 代替ツールの模索を開始
  • トランプ政権による CISA 縮小政策の一環
関連記事

2. AIエージェントの盲点:
MCPに潜むツール・ポイズニング攻撃の脅威

関連記事:MCP に潜む脆弱性:AI 時代の新たな脅威として浮上するツール・ポイズニング攻撃

Model Context Protocol (MCP) とは
  • LLM が外部リソースと連携を標準化し、AI アプリケーションの開発効率と相互運用性を向上させるオープン・プロトコル
  • これにより、AI はチャットボットやコーディング・アシスタントとしての機能を拡張できる
  • 2024年末に Anthropic が発表
  • 2025年4月、ツール・ポイズニング攻撃に至る可能性がある脆弱性が報告される
ツール・ポイズニング攻撃 (TPA:Tool Poisoning Attacks) とは
  • MCP ツールの説明文に悪意のある命令を埋め込む手法
  • ユーザーには見えないが、AI モデルには可視な命令を利用
  • AI が以下の不正行動を実行してしまうリスク
    • SSH キーや設定ファイルの抽出
    • データの外部送信
    • 他の信頼されたツールの挙動の上書き
    • メールツールの送信先アドレスの改ざん
    • 二次的なマルウェアや情報流出プロセスの起動
攻撃の例/その他の攻撃例

参考:Invariant Labs – MCP Security Notification: Tool Poisoning Attacks

  • Invariant Labs が示した攻撃の例
    • 無害に見える加算ツールだが、実際には SSH キーを読み取り、外部に送信するよう指示。
    • AI クライアントの Cursor ではツール説明に埋め込まれた隠れた命令をエージェントが実行。
    • ユーザーが気づかないうちに機密情報が漏洩する可能性がある。
      .
  • ツール・シャドウイング攻撃 (Tool Shadowing Attack)
    • 悪意のあるツールが、他の正規のツールの挙動に影響を与える攻撃手法
    • メール送信ツールの送信先アドレスを改ざんし、攻撃者にメールを送信させることが可能に
防御策と推奨事項
  • UI レベルでの可視化
  • ツールの改ざん防止(ハッシュ固定)
  • サンドボックスによる分離
  • エージェント向けファイアウォールの導入
まとめ
  • MCP は便利だが、使い方次第で武器にもなる
  • AIとツールの間に「信頼しすぎない壁」を作ることが重要
  • 透明性・ゼロトラスト運用がこれからの鍵