チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
一度承認されたMCP設定ファイルを悪用し、ユーザーの追加承認なしに持続的なリモートコード実行が可能に
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research)は、急成長中のAIコーディングツール「Cursor」において、持続的なリモートコード実行を可能にする重大な脆弱性を発見しました。
主な洞察
- AIを駆使した人気IDEに重大なRCE脆弱性CPRは、世界中の開発者に信頼されている急成長中のAIコーディングプラットフォーム「Cursor」に、持続的なリモートコード実行の脆弱性を発見しました。
- MCP脆弱性Cursorでは、攻撃者が過去に承認されたモデルコンテキストプロトコル(MCP)を改変することで、追加のユーザープロンプトがなくても開発者環境への長期間にわたるサイレントアクセスが可能になります。
- 実際の攻撃シナリオ共有リポジトリにおいて、一見無害に見えるMCP設定が承認後に悪用され、Cursorでプロジェクトを開くたびに悪意のあるコードが実行される恐れがあります。
- より広範なAIサプライチェーンリスクこの脆弱性は、AI支援型の開発環境におけるトラストモデルの重大な弱点を明らかにし、LLMと自動化をワークフローに組み込むチームにとって深刻なリスクとなっています。
Cursorは、開発者のあいだで急速に普及しているAIコーディングツールのひとつです。ローカルでのコード編集と強力な大規模言語モデル(LLM)の統合を組み合わせ、チームがより効率的にコードの記述、デバッグ、解析を行えるよう支援します。しかし、このような深い統合により、自動化されたワークフローへの信頼度が高まる一方で、その信頼が悪用された場合のリスクも増大しています。
AIを駆使した開発環境がソフトウェア開発のワークフローにより深く組み込まれるようになる中、CPRは、これらのツールの背後にあるセキュリティモデル評価の研究を開始しました。特にコード、設定ファイル、AIベースのプラグインがチームやリポジトリ間で頻繁に共有される協働環境において、その安全性を検証することを目指しました。
私たちは、Cursorのモデルコンテキストプロトコル(MCP)システムにおいて、持続的なリモートコード実行(RCE)を可能にする影響度の高い脆弱性を発見しました。ユーザーがMCP設定を一度承認すると、攻撃者はその動作をサイレントで変更することができます。その瞬間から、プロジェクトを開くたびに、追加の確認や通知なしに悪意のあるコマンドが実行される可能性があります。
攻撃者は、以下のことが可能です。
- 共有リポジトリに無害に見えるMCP設定を追加する
- 被害者がコードを取得し、Cursor IDEで一度それを承認するのを待つ
- MCP設定を悪意のあるペイロードに置き換える
- 被害者がCursor IDEを開くたびに、サイレントで持続的なコード実行の可能性がある
これは単なる理論上のリスクではなく、実際に存在する脆弱性です。共有開発環境では、この欠陥により信頼されていたMCPが、気づかれることなく継続的に悪用される侵入経路となってしまいます。CursorのようなAIツールに依存する組織への影響は深刻で、たった一度の承認操作により、開発者のマシン、認証情報、コードベースへのサイレントで持続的なアクセスが可能になります。
この脆弱性に関する技術的な詳細については、CPRのレポートをご覧ください。
脆弱性の仕組み
Cursorはモデルコンテキストプロトコル(MCP)と呼ばれるシステムを使用しています。これは、Cursorに対して特定のタスクを自動化する方法を指示する設定ファイルで、開発者がツールやスクリプト、AIを駆使したワークフローを開発環境に直接統合できる機能です。
ユーザーがMCP設定を含むプロジェクトを開くと、Cursorはその設定を信頼するかどうかを確認する承認プロンプトを一度だけ表示します。しかし、ここで重大な問題が発生します。
MCPが一度承認されると、その中のコマンドが秘密裏に変更されても、Cursorは再度の確認を一切行いません。
つまり、同じ共有リポジトリで作業する攻撃者は、以下のような行為が可能になります。
- 完全に安全に見えるMCP設定をプロジェクトに追加する
- チームの他のメンバーがそれを取得するのを待つ
- 後から設定を変更し、スクリプトの実行、バックドアの開放、外部サーバーへのデータ送信など、悪意のある操作を実行させる
被害者がCursorでプロジェクトを開くたびに、新たなプロンプトやアラートが表示されることなく、変更されたコマンドが自動的に実行されます。
概念実証:無害なMCPから持続的な攻撃への変化
この脆弱性が実際にどのように機能するかを示すため、共有プロジェクトにおける典型的な攻撃シナリオを模倣した概念実証を作成しました。
- ステップ1:無害なMCP攻撃者はまず、完全に安全なMCP設定を作成します。メッセージを表示するだけといった、無害なコマンドです。被害者がプロジェクトを開くと、このMCPの承認を求めるプロンプトが表示されます。
- ステップ2:悪意のある動作への密かな切り替え承認後、攻撃者は密かにMCP設定を悪意のあるコードに変更します。例えば、リバースシェルを開いたり、有害なシステムコマンドを実行するスクリプトなどです。
- ステップ3:毎回、自動的に実行
以降、被害者がCursor IDEでプロジェクトを開くたびに、アラートやプロンプトなしに悪意のあるコマンドがサイレントで実行されます。
- ステップ4:持続的で見えないアクセス
これにより攻撃者は被害者のマシンに繰り返し秘密裏にアクセスできるようになり、データの窃取、さらなる攻撃の実行、または被害者の環境内での横展開が可能になります。
実際の影響
多くの組織がリポジトリを通じてプロジェクトを共有・同期している現状において、この脆弱性は攻撃者が長期間にわたって発見されにくい侵入拠点を確立するための理想的な手段を提供します。
それがなぜ危険なのか、その理由は以下の通りです。
- 静かな持続性:悪意のあるコードがプロジェクトを開くたびに実行され、ユーザーへの警告や追加承認が一切必要ありません。これにより攻撃者は継続的なアクセスを無期限に維持できます。
- 広範な攻撃対象領域:共有リポジトリへの書き込み権限を持つ開発者であれば誰でも、信頼されたMCP設定を注入・変更できるため、チームや組織全体が危険にさらされます。
- 権限昇格のリスク:開発者のマシンには機密認証情報、クラウドアクセスキー、その他の機密事項がローカルに保存されていることが多く、この脆弱性を悪用する攻撃者はそれらを利用して企業ネットワークへのアクセスをさらに拡大できます。
- データとコードの漏えい:直接的なコード実行だけでなく、攻撃者はソースコード、知的財産、内部コミュニケーションを検知されることなく窃取できる可能性があります。
- AIツールチェーンの信頼性破綻:CursorのようなAIツールがソフトウェア開発により深く統合される中、そのセキュリティモデルは完璧である必要があります。この脆弱性は、自動化されたワークフローへの盲目的な信頼がもたらす危険性を明確にしています。
Cursorや同様のAIを駆使したIDE(統合開発環境)に依存する企業にとって、この脆弱性を理解し対処することは、開発環境と機密資産を保護する上で極めて重要です。
情報開示と対策
この脆弱性を発見した後、CPRは2025年7月16日にCursor開発チームに責任を持って問題を報告しました。Cursorは、2025年7月30日に修正プログラムを発表しています。
この脆弱性は、AIを深く統合した現代の開発ツールが直面する、より大きな課題の一部です。 Cursorのようなプラットフォームは、自然言語やLLMに接続されたプラグインを通じてタスクを自動化し、開発ワークフローを効率化します。しかし、その利便性の代償として、システムへの信頼度が高まる一方で、その信頼がどのように悪用される可能性があるかを把握することが困難になっています。
AI支援型の開発環境におけるこの種の脆弱性を軽減するため、チェック・ポイントは以下を推奨します。
- MCP設定ファイルを攻撃対象領域として扱う:ソースコードや自動化スクリプトと同様に、MCP設定の定義についても慎重にレビュー、監査、バージョン管理を行う必要があります。
- AIによる自動化を盲目的に信頼しない:MCPや提案が無害に見えても、承認前にチームメンバーがその機能を理解しているかを確実にしてください。
- 共同開発環境での書き込み権限を制限する:特に共有リポジトリにおいて、信頼できる設定ファイルを変更できる権限を持つ人を管理してください。
結論
Cursor IDEで発見されたこの持続的なリモートコード実行脆弱性は、AIを駆使した開発者ツールにとって重要なセキュリティ課題を浮き彫りにしています。 組織が統合されたAIワークフローへの依存を深めるにつれ、信頼のメカニズムが強固で検証可能であることを確保することが不可欠になります。
開発者、セキュリティチーム、そして組織に対し、常に警戒心を持ち、AI開発環境を監査し、新たな脅威に対処するためにベンダーと緊密に連携することを強く推奨します。プロアクティブなセキュリティ対策を通じてのみ、ソフトウェア開発におけるAIの力を安全に活用することが可能になります。
この脆弱性に関する技術的な詳細については、CPRのレポートをご覧ください。
本プレスリリースは、米国時間2025年8月5日に公開されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
