世界を動かす技術を、日本語で。

メールをダウンロードする「Postmark」バックドア

2025年9月27日原文(koi.security)

概要

  • MCPサーバー はAIアシスタントの自動化に不可欠な存在だが、信頼性に大きな問題
  • postmark-mcp というnpmパッケージが悪意あるバックドアを仕込まれていた事例を解説
  • 1.0.16以降のバージョン で全メールを外部サーバーに転送する不正コードが発見
  • 現状のMCPエコシステムには セキュリティモデルが欠如 しており、重大なリスクが存在
  • 被害防止策と今後の注意点 を具体的に解説

MCPサーバーのリスクとpostmark-mcp事件

  • MCPサーバー :AIアシスタントがメール送信やデータベース操作などを自動化するためのツール

  • 現状 :開発者が誰かも分からず、信頼性の確認もできない状態で広く利用

  • AIアシスタント :MCPサーバーを完全に信頼し、全権限で自動実行

  • postmark-mcp :npmで週1,500回以上ダウンロードされ、数百のワークフローに組み込まれていた

  • 1.0.16以降 :全送信メールを開発者のサーバー(giftshop.club)にBCCで転送するコードを追加

    • パスワードリセット、請求書、内部メモ、機密文書などが全て漏洩対象
    • 本物のPostmark公式リポジトリを模倣し、悪意あるコードを混入
    • 過去15バージョンは正常動作で信頼を集めていたため、被害が拡大
  • 攻撃の流れ

    • 正常なツールとして振る舞い信頼を獲得
    • 1行の悪意あるコードを追加
    • 数千通規模のメールが毎日外部に流出
  • 開発者の対応 :指摘後npmからパッケージを削除するも、既存インストール環境は依然として被害継続

エンタープライズにおけるMCPの本質的な危険性

  • MCPサーバー :AIアシスタントと同等の権限を持ち、メール・DB・API全てにアクセス
  • 資産管理やベンダーリスク評価の対象外 で、従来のセキュリティコントロールを完全に回避
  • 自動化の裏で、誰にも気付かれずに情報が外部流出するリスク
  • AIアシスタント :不正なBCCなどの挙動を検知できず、無条件で命令を実行
  • セキュリティモデル不在 :サンドボックスや権限分離なし、完全な信頼依存

被害規模と具体的影響

  • 推定被害

    • 週1,500ダウンロード、20%がアクティブ利用と仮定
    • 約300組織、1日あたり3,000~15,000通のメールが流出
    • パスワード、APIキー、財務データ、顧客情報などが含まれる
  • 攻撃の特徴

    • 複雑な攻撃手法やゼロデイ脆弱性は不要
    • ユーザー自身が全権限を与えてしまう構造的問題

なぜMCPエコシステムは危険なのか

  • MCPサーバー :AIが自動で何度も利用し続けるインフラ
  • 一度信頼されると、後から悪意あるコードを混入しても検知が困難
  • npmから削除しても、既存環境はそのまま被害継続
  • giftshop.club :開発者の他のプロジェクトサーバーがC2として悪用

Koiの検知・対策と推奨アクション

  • Koiのリスクエンジン :不審な挙動の自動検知

  • サプライチェーンゲートウェイ :悪意あるパッケージの導入阻止

    • 既知の脅威をブロック
    • 重要操作(メール・DB等)に関わるパッケージは承認制
  • 推奨アクション

    • postmark-mcp v1.0.16以降を即時アンインストール
    • 期間中に送信したメールの認証情報を全てローテーション
    • 全MCPサーバーの監査・開発者の信頼性確認
    • 不正流出が疑われる場合は関係当局へ報告

IOC・検知・緩和策

  • パッケージ名 :postmark-mcp(npm)

  • 悪性バージョン :1.0.16以降

  • バックドアメール :phan@giftshop[.]club

  • ドメイン :giftshop[.]club

  • 検知方法

    • メールログでgiftshop.club宛BCCヘッダーの有無確認
    • MCPサーバー設定で不審なメールパラメータを監査
    • npmパッケージのバージョンチェック
  • 緩和策

    • 即時アンインストール
    • 影響範囲の認証情報変更
    • メールログ監査と情報流出の有無調査
    • 確認された被害は適切な当局へ報告

まとめ:MCPサーバー利用時の心構え

  • MCPサーバーは本質的に高リスク であり、信頼できる開発者・仕組みの選定が必須
  • AIアシスタントの自動化利便性 の裏に、重大な情報流出リスクが潜む
  • 信頼ではなく検証 と継続的な監視を徹底
  • 「MCPは疑ってかかる」 ——この慎重さこそが、今後のAI自動化時代における最重要セキュリティ対策

Hackerたちの意見

MCPサーバーの問題は分かるけど、こういう攻撃は外部の依存関係(SMTPパッケージみたいな)にも起こり得ると思う。

違いは、SMTPパッケージを探しに行くと、実績のあるライブラリにたどり着くってこと。信頼が何年も積み重なったものがあるからね。でもMCPのやつは新しすぎて、そういうのが全然ない。みんな昨日出たばかりのものを使ってる感じ。まるで西部開拓時代みたいで、銃を構えておかないとね。

ほとんどの場合、npmパッケージが原因だよね。npmが最も広く使われているパッケージシステムだから、攻撃者にとっても魅力的なんだろうけど、なんか気分が悪い。

だから、私は標準のMCPサーバーを運用してないんだ。すべてのMCPは、信頼できないVLAN上の別のVMホストでDockerコンテナ上で動いてるし、SSE経由で接続してる。もちろん、プロンプトインジェクションには脆弱だけど、メインのブラウザプロファイルやメール、クラウドアカウントにはLMを接続してないから、敏感な情報は扱ってないよ。

OpenAIもRustで作られたCodex CLIツールを配布するのにnpmを使ってるんだよね。これには驚くけど、他の選択肢はもっと不便なんだろうな。

上のコメントが「この記事の重要なポイント」として高評価されないことを願ってる。それは本質を見失うことになるから。

それか、誰かのGmailにプロンプトインジェクションされたスパムを送ることもできるし、人間が開かなくてもいいんだよね。https://www.linkedin.com/posts/eito-miyamura-157305121_we-go...

「さて、あまり話題にされないことがあるんだけど、私たちはこれらのツールに神のような権限を与えているんだ。会ったこともない人たちが作ったツールにね。私たちが確認する手段もゼロ。で、私たちのAIアシスタント?完全に信頼してる。この記事でよく見るパターンなんだけど、『銃を自分の足に向けて引き金を引いたら、自分の足を撃つって知ってた?信じられない!なんて発見だ!』って。人々は本当にこんなに無頓着なのか、それともこういう記事は問題じゃないことについて書かれてるのか、ただコンテンツを作るためだけに?」

これは不公平だよ。私たちには明らかだから、普遍的な理解があると仮定してる。でも、ほとんどのコンピュータユーザーは、コンピュータ技術がどう動いてるかについて詳しく理解してないし、目に見えないし抽象的だから、自分がどんなリスクにさらされているかもほとんど理解してない。銃の例えに対する答えは間違ってる。なぜなら、銃の基本的な知識を前提にしているから。これが、子供たちが自分や家族を銃で撃ってしまう理由の一部なんだよね。引き金を引いたら暴力的なことが起こるって教えられるまで、彼らはそれを知らないから。

チンパンジーに弾が入った銃を渡すと、時々自分自身やあなたを撃っちゃうことがあるって知ってた?それも、何が起こるか全然分からずに!?何度も言っても無駄なのに!?で、そうなったら「賢い」人たちはそれをやるのが本当にバカだったって言うんだよね!!?

HNの観客にとって明らかなことが、他の人には必ずしも明らかじゃないんだよね。この記事は後者のグループのために書かれてる。実際、MCPサーバーを使ったAIエージェントは設計上ほぼ安全じゃないから、最初からセキュリティは考慮されてなかった。これが変わるまで、もし変わることがあれば、最善の策は情報を提供することだね。

数ヶ月前に、AIコードアシスタントが会社の本番データベースを削除したっていう記事があったよね:https://fortune.com/2025/07/23/ai-coding-tool-replit-wiped-d... もちろん、ここにはいくつかの層がある。1. 創業者はAIツールが信頼できないことを理解できずに自分の足を撃ったから、明らかに本当に無知だった。2. ...その創業者は通常のコーディング環境に直接本番アクセスを接続していた。いつかは自分の足を撃つ運命だったんだ。

Hacker Newsで議論の続きを見る