概要
Azure Data Explorer MCP(Model Context Protocol)Server に おいて、KQL(Kusto Query Language)インジェクション の 脆弱性 が 発見 されました。MCP は AI モデル が 外部 データ ソース と 連携 する ため の プロトコル であり、この MCP サーバー は Azure Data Explorer(ADX)クラスタ に 対して KQL クエリ を 実行 する 機能 を 提供 します。
この 脆弱性 は、ユーザー から の 入力 が KQL クエリ に 組み込まれる 際 に、適切 な サニタイズ や パラメータ 化 が 行われて いない こと に 起因 します。攻撃者 は 巧妙 に 構成 された 入力 を 通じて KQL クエリ を 改変 し、意図 しない データ の 取得、変更、または 削除 を 実行 できます。
この 脆弱性 は CWE-943(Improper Neutralization of Special Elements in Data Query Logic)に 分類 されます。SQL インジェクション と 同様 の パターン ですが、KQL に 特化 した 攻撃 です。MCP サーバー は AI アプリケーション の バック エンド として 使用 される ため、AI 経由 の 間接的 な 攻撃(プロンプト インジェクション と 組み合わせた 攻撃)も 想定 されます。
CVSS スコア は 8.3 で High と 評価 されて います。Azure Data Explorer を MCP サーバー 経由 で 使用 して いる 場合 は、速やかに ベンダー の セキュリティ アドバイザリ を 確認 し、修正 バージョン に アップデート して ください。
MCP(Model Context Protocol)は AI アプリケーション と 外部 データ ソース を 接続 する ため の 標準 プロトコル として 急速 に 普及 して います。MCP サーバー は AI モデル に 代わって データベース クエリ を 実行 する ため、インジェクション 攻撃 の リスク は 特に 重要 です。AI 経由 の 間接 攻撃(例: プロンプト に KQL ペイロード を 埋め込む 手法)は、従来 の セキュリティ 監視 で は 検出 しにくい ため、MCP サーバー 側 で の 入力 検証 と パラメータ 化 が 不可欠 です。データ アクセス 層 に おける 防御 を 強化 し、最小 権限 の 原則 に 基づいた 権限 設定 を 行う こと を 推奨 します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.3(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 低 |
| ユーザー 関与 | 不要 |
| CWE | CWE-943(Improper Neutralization of Special Elements in Data Query Logic) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| adx-mcp-server | pab1it0 | 修正 前 の 全 バージョン |
修正 バージョン と 回避策
- 根本 対策: ベンダー が 提供 する 修正 バージョン に アップデート する
- 回避策: KQL クエリ の パラメータ 化 を 実装 し、ユーザー 入力 を 直接 クエリ 文字列 に 埋め込まない
- 回避策: MCP サーバー へ の アクセス を 信頼 できる クライアント に 制限 する
- 推奨: Azure Data Explorer の 監査 ログ を 有効化 し、異常 な クエリ パターン を 監視 する
- 推奨: MCP サーバー の 実行 権限 を 最小 限 に 設定 し、読み取り 専用 アクセス に 制限 する
- 推奨: AI アプリケーション から MCP サーバー へ の 入力 を ログ に 記録 し 異常 な パターン を 検出 する 仕組み を 構築 する
- 推奨: プリペアド クエリ や パラメータ バインディング を 使用 し ユーザー 入力 の 直接 埋め込み を 防止 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。