2026年4月15日、イスラエル・テルアビブのAIセキュリティスタートアップ企業Pluto Securityは、「MCPwn:ネットワーク上の誰もがあなたのNginxを支配できてしまう、わずか1行のコードに起因するCVSS 9.8のMCPバグ — 野生下での悪用も確認済み」と題するブログ記事を公開した。
ブログによると、「MCPwn」(CVE-2026–33032)とは、オープンソースのNginx管理ツールである「nginx-ui」に存在する、CVSSスコア9.8(緊急)の極めて深刻な脆弱性である。この脆弱性は、近年注目されているAI連携プロトコル「Model Context Protocol (MCP)」の実装不備に起因している。
この脆弱性の最大の特徴は、「わずか1行のコードミス」によって、認証を一切必要とせずにネットワーク上の誰もがNginxサーバーの完全な制御権を掌握できてしまう点にある。すでに野生下(実際のネットワーク環境)での悪用が確認されており、管理者にとって即時の対応が求められる脅威となっている。
nginx-uiは、Nginxの設定をブラウザから直感的に操作できる便利なツールだが、最近のアップデートでAIエージェントがサーバー設定を理解・操作できるようにするためのMCPを統合した。この統合により、以下の2つのHTTPエンドポイントが追加された。
・/mcp:セッション確立用 ・/mcp_message:MCPツールを呼び出し、実際のコマンドを実行するためのエンドポイント
本来、これらのエンドポイントには「IPホワイトリストによる制限」と「ユーザー認証」の両方が適用されるべきであった。しかし、ソースコード上の重大な欠陥により、/mcp_message エンドポイントにおいて、「ホワイトリストが空の場合、すべてのアクセスを許可する」というデフォルト挙動が設定されていたという。さらに、このエンドポイントには認証チェックを行うミドルウェアが適用されていなかったため、実質的にバックドアとして機能してしまったという。
攻撃者は、特別な権限や高度な技術を必要とせず、以下のように、標準的なHTTPリクエストを2回送信するだけで攻撃を完了できる。
・セッションの取得: /mcp へのGETリクエストを行い、セッションIDを取得する。 ・管理コマンドの実行: 取得したセッションIDを使い、/mcp_message に対してPOSTリクエストを送信する。
このリクエストを通じて、MCPが提供する強力な管理ツール(ツールの呼び出し)を直接実行できる。具体的には、以下のような操作が無制限に可能である。
・Nginx設定ファイルの作成・変更・削除: nginx.conf を書き換え、悪意のあるプロキシ設定を注入する。 ・サーバーの再起動・リロード: 設定の変更を即座に反映させる。 ・証明書の窃取: サーバー内に保存されているSSL/TLS証明書の秘密鍵を読み取る。
この脆弱性が「9.8」という極めて高いスコアを付けられている理由は、その影響範囲の広さと実行の容易さにある。具体的には、以下の通りである。
・完全なサービス乗っ取り: 攻撃者はNginxの設定を自由に操作できるため、ウェブサイトの全トラフィックを攻撃者のサーバーへリダイレクト(フィッシング)したり、通信内容を傍受してユーザーのログイン情報を盗み取ったりすることが可能である。 ・内部ネットワークへの足がかり: Nginxは通常、ネットワークの境界に位置するため、ここを突破されると内部のデータベースや業務システムへの侵入を許す「踏み台」にされる。 ・サービス拒否(DoS): 不正な設定を流し込んでリロードさせるだけで、サービスを完全にダウンさせることができる。 ・認証のバイパス: アプリケーション側でどれほど堅牢な認証を組み込んでいても、管理ツールであるnginx-ui自体に存在するこの「穴」を通れば、すべてのセキュリティを無効化できてしまう。
Pluto Securityの報告を受け、nginx-uiの開発チームは修正パッチをリリースした。主な対策は以下の通りである。
・最新バージョンへのアップデート: 脆弱性が修正された最新版のnginx-uiへ直ちに更新する。 ・エンドポイントの露出制限: 管理インターフェース(デフォルトではポート9000番)をインターネットに公開せず、VPN経由や特定の信頼できるIPアドレスからのみアクセスできるように制限する。 ・不要な機能の無効化: MCP機能を使用していない場合は、設定から無効化することを検討する。
MCPwnの事例は、便利な新機能(AI連携)を既存のシステムに追加する際の危険性を浮き彫りにした。どれほど強力なセキュリティ対策を講じていても、追加されたわずか1行の不適切なコードが、システム全体の防壁を崩壊させるバックドアになり得るという教訓を示している。
この脆弱性は現在進行形で悪用されているため、nginx-uiを利用している管理者は、一刻も早く自社の環境を確認し、アップデートを実施することが不可欠だとしている。
(参考文献) ・Pluto Security, "MCPwn: A CVSS 9.8 One-Line MCP Bug That Hands Over Your Nginx to Anyone on the Network — Actively Exploited in the Wild", April 15, 2026 https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
笹原英司 https://www.linkedin.com/in/esasahara/ 旧労働省(現厚生労働省)労働基準監督官を経て、デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク管理関連調査研究/コンサルティングに従事する 現在は、クラウドセキュリティアライアンス、在日米国商工会議所、在日デンマーク商工会議所などで、スタートアップ企業支援活動を行っている。 千葉大学大学院医学薬学府博士課程修了(博士・医薬学)
Eiji Sasahara, Ph.D., MBA After serving as a Labor Standards Inspector at the former Ministry of Labour (now the Ministry of Health, Labour and Welfare), engaged in various areas, including digital marketing (B2B/B2C) and research, studies, and consulting related to governance and risk management within the healthcare, nursing, welfare, and life sciences industries. Currently, get involved in supporting startup companies through organizations such as the Cloud Security Alliance, the American Chamber of Commerce in Japan, and the Danish Chamber of Commerce in Japan. Hold a Ph.D. in Medical and Pharmaceutical Sciences from the Graduate School of Medical and Pharmaceutical Sciences, Chiba University.