Anthropic MCP設計脆弱性とSGLang RCE:AIインフラを襲う二重の脅威と2.9億ドル暗号資産強盗
AnthropicのMCPプロトコルに設計段階からの重大なRCE脆弱性が発見され、SGLangにもCVSS 9.8のコマンドインジェクションが。さらにVercelとAxiosのサプライチェーン侵害、北朝鮮LazarusによるKelpDAO 2.9億ドル強盗が発生。AIインフラと開発者ツールを同時に襲う2026年4月21日のセキュリティ動向を解説。
今日のハイライト
2026年4月21日は、AIインフラの設計段階から存在する根本的な脆弱性が二つ同時に表面化した日であり、開発者エコシステムを狙ったサプライチェーン攻撃と、国家支援の脅威グループによる史上最大級のDeFi強盗が発生した。特にAnthropicのModel Context Protocol(MCP)とSGLangの脆弱性は、AI統合環境における「信頼の境界線」の再定義を迫られる深刻な事態を示している。
1. Anthropic MCP Design Vulnerability Enables RCE, Threatening AI Supply Chain
概要
Anthropicが提唱するModel Context Protocol(MCP)のアーキテクチャに、設計段階から存在する重大な脆弱性が発見された。この脆弱性は任意コマンド実行(ACE/RCE)を可能にし、AIエージェント間の連携を標榜するプロトコル全体を通じて、AIサプライチェーンに連鎖的な影響を及ぼす可能性がある。
考察
実務対策として、MCPを実装・運用する組織は、即座に入力検証の強化とサンドボックス化の徹底が必要だ。MCPはAIツール間の「標準的な連携手段」として普及しつつあるが、本脆弱性はプロトコル設計思想自体にセキュリティが後付けされた構造を示唆している。運用側では、MCPサーバーへの接続を最小権限で隔離し、ファイルシステムやネットワークアクセスを厳密に制限すべきだ。
技術的背景として、MCPは「AIが外部ツールを自由に呼び出す」という利便性を最優先した設計であり、従来のAPIゲートウェイで実施されていた境界防御の概念が希薄化している。攻撃者はMCPのメタデータやツール定義を改ざんすることで、AIエージェントに悪意あるコマンド実行を指示できる。これは単なる実装バグではなく、「便利さ」と「安全性」のトレードオフにおいて前者が過度に優先された設計思想の帰結である。
業界トレンドとして、AIインフラの「プロトコル化」が進む中で、セキュリティ標準の策定が追いついていない現状が浮き彫りになった。MCPのような標準規約が普及すればするほど、設計上の欠陥による影響範囲は指数関数的に拡大する。今後、AI連携プロトコルのセキュリティレビューが、TLSやOAuthと同様の必須プロセスとなる必要がある。
参照元
2. SGLang CVE-2026-5760 (CVSS 9.8) Enables RCE via Malicious GGUF Model Files
概要
AI推論フレームワークであるSGLangに、コマンドインジェクションの重大な脆弱性(CVE-2026-5760、CVSSスコア9.8)が存在することが判明した。攻撃者は悪意あるGGUF(GPT-Generated Unified Format)モデルファイルを提供することで、リモートコード実行(RCE)を達成できる。
考察
実務対策として、MLエンジニアリングチームは「モデルファイルの検証パイプライン」を緊急構築すべきだ。GGUFファイルはバイナリ形式であり、従来は単なるモデルウェイトのコンテナと認識されがちだったが、本脆弱性はファイルパース処理におけるコマンドインジェクションを示している。Hugging Faceや自社モデルレジストリからのダウンロード時に、必ず静的解析とサンドボックス内での展開テストを実施し、ネットワーク分離された環境でのみモデルロードを行うことが求められる。
技術的背景として、SGLangは高性能な推論エンジンとして注目される一方、モデルファイルのデシリアライゼーションにおける安全策が不十分だった。GGUFフォーマットのメタデータ部分に埋め込まれたシェルコマンドが、ファイル読み込み時にそのまま実行される構造は、PickleやPyYAMLの過去の脆弱性と同じ「データとコードの境界が曖昧」なアンチパターンである。AIモデルの配布エコシステムが、従来のソフトウェア配布ほどのセキュリティ成熟度を持っていない現状が問題だ。
業界トレンドとして、AIモデル自体が「悪意あるコードのキャリア」となりうるという認識が普及する契機となる。今後、モデルファイルの署名検証(モデル署名)や、推論環境のコンテナ化・不変化が標準となるだろう。特に企業内でファインチューニングされたモデルを共有する際、内部脅威モデルとして「毒入りモデル」を考慮に入れる必要がある。
参照元
3. Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials
概要
主要なWebインフラプロバイダーであるVercel(Next.jsなどのフレームワークを提供)が、従業員が使用していた第三者AIツール「Context.ai」の侵害を経由して、内部システムへの不正アクセスを許容するデータ侵害を公表した。顧客の認証情報が限定的に流出した模様だ。
考察
実務対策として、SaaS連携管理の徹底が急務だ。従業員が業務効率化のために導入する第三者AIツール(特にコード解析やドキュメント生成ツール)は、組織のセキュリティ境界を無意識に突破する「シャドウIT」となりうる。企業は、開発者が使用する全てのブラウザ拡張やSaaSツールをインベントリ化し、OAuthトークンのスコープを最小限に抑えるとともに、定期的なアクセスレビューを実施すべきだ。
技術的背景として、本事件は「サプライチェーンのサプライチェーン」攻撃の典型例である。Vercel自体はセキュリティ対策を講じていたとしても、従業員が信頼したContext.aiを介した間接的な侵害が発生した。Context.aiはコードベースへのアクセス権を持っていた可能性があり、これを悪用してVercelの内部システムへの橋頭保を築いたと考えられる。Zero Trustアーキテクチャにおいて「デバイスとユーザーの信頼」だけでなく「連携先SaaSの信頼」も検証対象に含める必要がある。
業界トレンドとして、AIコーディング支援ツールの普及に伴い、ソースコードが外部サービスに流出するリスクが増大している。GitHub CopilotやCursorなどの主流ツールだけでなく、ニッチな解析ツールもセキュリティレビューの対象とし、企業機密が含まれるコードベースへのアクセスを持つツールについては、セキュリティ評価を義務化する動きが加速するだろう。
参照元
4. Supply Chain Compromise Impacts Axios Node Package Manager
概要
CISAが緊急アラートを発行。世界中の開発者に広く使用されているJavaScript HTTPクライアント「Axios」のnpmパッケージ(バージョン1.14.1および0.30.4)がサプライチェーン侵害を受け、悪意ある依存関係「[email protected]」が注入された。この依存関係は、リモートアクセストロイ(RAT)を含む多段階ペイロードをダウンロードする。
考察
実務対策として、CISAが推奨する設定の即座適用が必要だ。特に.npmrcファイルでのignore-scripts=true設定は、npm install時のポストインストールスクリプト実行を防止し、今回のようなペイロード展開をブロックする効果的な手段だ。またmin-release-age=7の設定により、公開直後の未検証パッケージの自動導入を防ぐことも重要だ。侵害された環境については、CI/CDパイプラインと開発者マシンの双方でnode_modules/plain-crypto-js/の存在確認と削除、および全認証情報(VCSトークン、CI/CDシークレット、クラウドキー、npmトークン、SSHキー)のローテーションが必須だ。
技術的背景として、今回の侵害は「依存関係の植え付け」型の攻撃であり、攻撃者がAxiosのメンテナアカウントを侵害したか、あるいはタイポスカッティングではなく正規パッケージへの直接注入を行ったと考えられる。C2通信先として報告されたSfrclak[.]comドメインへの外向き通信を監視・ブロックすることが、感染後の対策として有効だ。CI/CDパイプラインが侵害された場合、ビルドアーティファクトへの亜種埋め込みが懸念されるため、過去のビルド履歴の検証も必要だ。
業界トレンドとして、npmエコシステムにおけるサプライチェーン攻撃が組織的・継続的な脅威となっている。特にAxiosのようなユーティリティライブラリは依存関係ツリーの深い階層に位置し、直接依存していない間接的な影響も広範囲に及ぶ。Software Bill of Materials(SBOM)の自動生成と脆弱性スキャンのCI/CD統合は、もはや選択肢ではなく必須のコンプライアンス要件となりつつある。
参照元
5. KelpDAO suffers $290 million heist tied to Lazarus hackers
概要
北朝鮮の国家支援ハッカー集団「Lazarus Group」が関与とされるDeFiプロジェクト「KelpDAO」への2億9000万ドル(約116,500 rsETH)の巨額暗号通貨盗難事件が発生。攻撃者は検証レイヤー(DVN)で使用されるRPCノードを侵害し、偽のブロックチェーンデータを提供することで未承認のクロスチェーン取引を実行した。
考察
実務対策として、DeFiプロトコル運用者は検証インフラストラクチャの冗長化と異常検知の強化が急務だ。今回の攻撃では、健全なRPCノードをDDoS攻撃で使用不能にし、攻撃者が制御する「毒入り」ノードへのフォールバックを強制した。これを防ぐため、複数の独立したRPCプロバイダーを並列使用し、各ノードからの応答を比較検証(クォーラムベースの合意形成)するメカニズムの導入が必要だ。また、クロスチェーンメッセージの検証において、単一のDVN(Decentralized Verifier Network)に依存しない多層的検証アーキテクチャが求められる。
技術的背景として、LayerZeroプロトコルの検証メカニズムにおける「可用性と整合性のトレードオフ」が悪用された。攻撃者はRPCレイヤー(ブロックチェーンデータの読み取り層)を標的とし、ブロックチェーン自体の改ざんではなく、検証システムが参照するデータソースを汚染した。これは「オラクル問題」の一種であり、オンチェーンデータの信頼性がオフチェーンのインフラに依存する際の根本的な脆弱性を示している。Tornado Cashを通じた資金の洗浄は、暗号資産追跡の技術的限界を示している。
業界トレンドとして、国家支援の脅威グループ(APT)によるDeFi攻撃が、より高度な戦術と長期的な潜伏を伴って増加している。Lazarus Groupは6ヶ月間にわたりプロジェクトに潜入し(Drift Protocolの事例)、カンファレンス参加や100万ドル規模のデポジットを行うなど、徹底した信頼構築(ソーシャルエンジニアリング)を実施している。DeFiプロジェクトは、技術的セキュリティだけでなく、運営チームの身元確認とコミュニケーションセキュリティも強化する必要がある。
参照元
まとめ
2026年4月21日のセキュリティニュースは、AIインフラの「設計段階からのセキュリティ確保」の重要性を痛烈に示した一日となった。AnthropicのMCPとSGLangの脆弱性は、AI統合が進む中で「便利さ」が「安全性」を圧倒した結果として生じた設計欠陥であり、これらは個別の実装バグではなく、パラダイムシフトにおけるセキュリティ思想の遅れを反映している。
同時に、VercelとAxiosを襲ったサプライチェーン攻撃は、開発者ツールチェーンの信頼性がいかに脆いかを示し、CISAの積極的なアラート発行は、国家機関においてもソフトウェアサプライチェーンが重要なインフラとして認識されている証左である。
KelpDAOの2.9億ドル強盗は、国家支援の脅威グループが、単なるスマートコントラクトのロジックバグではなく、検証インフラ(RPC/DVN)を標的とする高度な戦術に移行していることを示唆している。
今後の注視ポイントは、AIプロトコルのセキュリティ標準化動向、npm/PyPIなどのパッケージレジストリの信頼性向上策、およびDeFiインフラの検証レイヤー強化である。特に、AIエージェントが自律的にツールを選択・実行する環境において、従来の境界防御モデルが無力化されるため、ゼロトラストアーキテクチャの再定義が喫緊の課題となる。
参照元
- Anthropic MCP Design Vulnerability Enables RCE, Threatening AI Supply Chain →
- SGLang CVE-2026-5760 (CVSS 9.8) Enables RCE via Malicious GGUF Model Files →
- Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials →
- Supply Chain Compromise Impacts Axios Node Package Manager →
- KelpDAO suffers $290 million heist tied to Lazarus hackers →