AIとデータを結ぶmcp-pinotに認証なし侵入の穴 CVE-2026-49257、即更新を
AIアシスタントと分析用データベースをつなぐ部品『mcp-pinot』が、初期設定のまま誰でも外部から接続できる状態になっていました。CVE-2026-49257、危険度は最高の10.0満点。攻撃者は認証なしでデータベースの中身を読み書きでき、丸ごと乗っ取られる恐れがあります。AIと外部システムをつなぐ『MCPサーバー』で認証なしの穴が相次いでおり、対象のv3.0.1以前はv3.1.0へ即更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
AIアシスタントと分析用データベースをつなぐ部品『mcp-pinot』が、初期設定のまま誰でも外部から接続できる状態になっていました。CVE-2026-49257、危険度は最高の10.0満点。攻撃者は認証なしでデータベースの中身を読み書きでき、丸ごと乗っ取られる恐れがあります。AIと外部システムをつなぐ『MCPサーバー』で認証なしの穴が相次いでおり、対象のv3.0.1以前はv3.1.0へ即更新を。
AIアシスタントと分析用データベースをつなぐ部品「mcp-pinot」が、初期設定のままだと誰でも外部から接続してデータベースを操作できる状態になっていたことがわかりました。脆弱性の番号は「CVE-2026-49257」で、危険度は10点満点中の10.0と、付けられる最高の評価が出ています。
mcp-pinotは、リアルタイム分析データベース「Apache Pinot」を手がけるStarTreeが公開している連携用ソフトです。開発元のセキュリティ情報によると、認証を求めない設定がそのまま初期値になっており、ネットワークに届く相手なら誰でもデータベースの中身を読み書きできてしまう問題でした。修正版のv3.1.0が公開されています。
mcp-pinotとは何か、なぜこういう部品が増えているのか
最近のAIアシスタントは、文章を生成するだけでなく、社内のデータベースやファイル、外部サービスに自分でアクセスして調べものをこなせるようになってきました。このとき、AIと外部システムの間をつなぐ共通の規格が「MCP(Model Context Protocol)」です。AIに「どんな道具(ツール)が使えるか」を教え、実際にその道具を呼び出す窓口になるのが「MCPサーバー」と呼ばれるソフトで、今回のmcp-pinotもその一つです。
mcp-pinotがつなぐ先は、StarTreeが開発に関わる「Apache Pinot」というデータベースです。Pinotは、大量のデータに対して瞬時に集計や検索を返すことを得意とする「リアルタイム分析データベース」で、アクセス状況のダッシュボードや、利用者ごとの推薦表示など、待たされたくない処理に使われます。mcp-pinotを挟むことで、AIアシスタントに「この数字を出して」と頼むだけで、AIが裏でPinotに問い合わせて答えを返す、という使い方ができるようになります。
こうした「AIと現実のシステムをつなぐ部品」は、ここ1〜2年で爆発的に増えました。当サイトでも、AIをまとめるLiteLLMの乗っ取りの穴や、公開20時間で攻撃されたLangflowの事例、AIが書いたSQLでデータベースを乗っ取られるLangroidの事例を取り上げてきました。便利な連携部品が増えるほど、その「つなぎ目」が新しい攻撃の入口になっています。
鍵のかかっていない窓口に来るのは誰で、何を持っていくのか
危険度10.0という満点は、めったに出ません。事前の権限も、利用者をだます手間も、難しい技も一切いらず、ネットワークに届きさえすればデータベースを丸ごと操作できてしまう、という条件がそろったときだけ付く数字です。だからこそ、その開きっぱなしの窓口に誰が手を伸ばしてくるのかを、技術用語を外して先に思い描いておく意味があります。
来るのは、インターネット全体を機械的に走査して「認証なしで叩けるサーバー」を探し回る攻撃者、企業データを盗んで売りさばく窃盗グループ、データを暗号化して身代金を要求するランサムウェアの実行犯、そして社内ネットワークに一度入り込んで横へ広がろうとする侵入者たちです。彼らが手に入れるのは、Pinotにためた利用者の行動記録や購買の履歴、サービスの利用状況、分析の元になる個人データ、そしてデータベースの構造そのものを作り替えたり消したりできる操作権限です。初期設定のまま外に開いていれば、相手は合言葉すら要求されず、AIのために用意された道具一式をそのまま自分の手で振るえます。
技術的に見ると、mcp-pinotは攻撃者の問い合わせを、サーバーが持つPinotへの強い権限を使ってそのまま代理実行してしまいます。これは「混乱した代理人(confused deputy)」と呼ばれる典型的な弱点で、本来は無権限の相手が、サーバーの権限を借りて好き放題できる状態を指します。一度この窓口を見つけられれば、攻撃者はデータの読み取りだけでなく、テーブルの構造を書き換えたり、重い問い合わせを連発してサービスを遅延させたり、クラスター全体の情報を洗い出して次の攻撃の足がかりにしたりできます。
「危険度10.0」という数字は、技術的な深刻さの最高値を示すだけのものです。Pinotに事業のデータを預けている人にとって本当に失われるのは、顧客から預かったデータの塊と、それが流出したときに支払う信頼と賠償です。AIに便利な道具を持たせたつもりが、その道具箱の鍵を世界中へ配って回っていた、という構図がこの脆弱性の怖さです。
CVE-2026-49257で実際に何が起きるのか
脆弱性の正体は「重要な機能に認証がかかっていない」ことです。専門的には認証欠如(CWE-306、本来ログインや権限確認が必要な操作が、誰でも実行できてしまう問題)に分類されます。開発元のアドバイザリ(GHSA-73cv-556c-w3g6)は、3つの危険な初期設定が重なって起きたと説明しています。
- 認証のしくみ(OAuth)が初期状態でオフ(
oauth_enabled = False) - そのオフ設定に連動して、認証の処理自体が組み込まれない
- 通信の待ち受け先が、外部からも届く全方向(
0.0.0.0:8080)に開いている
この3つがそろうと、ネットワーク越しに8080番ポートへ届く相手なら誰でも、mcp-pinotが用意したすべてのツール(道具)を呼び出せてしまいます。その中にはSQL(データベースへの命令)の実行や、テーブル設計の変更といった強力な操作が含まれます。mcp-pinotはこれらの呼び出しを、サーバーが保持するPinotの権限で代理実行するため、攻撃者は無権限のまま、設定されたPinotクラスターへの完全な読み書きを手にします。
NVD(米国政府の脆弱性データベース)の評価は、事前の権限も利用者の操作もいらず、被害が最初のソフトの範囲を超えて広がりうる点(スコープ変更)まで考慮し、満点の10.0としています。報告したのはraysabee氏とPeledTomer1氏で、報告時点で実際に悪用されたという報告は確認されていません。ただし「認証なしで叩けるサーバー」は機械的な走査で簡単に見つかるため、外部に開いている場合は早急な対処が必要です。
自分は影響を受けるのか、どのバージョンが危ないのか
影響を受けるのは、mcp-pinotを使っていて、なおかつ古いバージョンを初期設定のまま外部から届く場所で動かしている場合です。下の表で確認してください。
| 項目 | 内容 |
|---|---|
| 対象ソフト | mcp-pinot (StarTree提供) |
| 影響バージョン | v3.0.1 以前 (v2.1.0でも確認) |
| 修正バージョン | v3.1.0 |
| 脆弱性の種類 | 認証欠如 (CWE-306) |
| 危険度 | CVSS 10.0(満点) |
| 悪用の前提 | 8080番ポートへ ネットワークで届くこと |
注意したいのは、初期設定が外向き(0.0.0.0:8080・認証オフ)だった点です。社内ネットワークだけで使っているつもりでも、設定を見直していなければ、社内に入り込んだ攻撃者や、誤って外部に露出したサーバーから狙われる余地があります。まず「自分のmcp-pinotがどこからアクセスできる状態か」を確認してください。
どう対処すればいいのか
対処の基本は、mcp-pinotをv3.1.0以降へ更新することです。アドバイザリによると、修正版では危険な初期設定が改められ、待ち受け先の初期値が外向きの0.0.0.0から手元のみの127.0.0.1へ変更され、認証をオンにしないまま外部へ公開しようとすると拒否されるようになりました。更新手順は公式リポジトリで確認できます。
すぐに更新できない場合の応急策として、アドバイザリは次の3つを挙げています。1つ目は、認証を有効にすること(OAUTH_ENABLED=true)。2つ目は、待ち受け先を手元のみに絞ること(MCP_HOST=127.0.0.1)。3つ目は、ファイアウォールで8080番ポートへの外部アクセスを遮断することです。いずれも一時しのぎであり、根本対応はあくまで更新です。
自社でどのAI連携部品をどんな設定で動かしているか把握しきれていない場合は、OSS脆弱性スキャナーのように、使っている部品の一覧から危険なバージョンを自動で洗い出すしくみを使うと見落としを防げます。とくにMCPサーバーは「動かせばすぐつながる」手軽さを売りにしている分、初期設定が外向きのまま放置されやすい点に注意が必要です。
なぜ「AIの連携窓口」で認証なしの穴が相次ぐのか
今回のmcp-pinotは単独の事故ではありません。AIと外部システムをつなぐMCPサーバーで、認証をかけずに動いてしまう設定が初期値になっている事例が、2026年に入って相次いで見つかっています。セキュリティ企業のAkamaiの調査は、MCPサーバーの土台部分に同じ型の弱点が繰り返し見つかっていると報告しています。便利さを優先して「すぐつながる」初期設定にした結果、認証という基本の守りが後回しになっている、という構図です。
攻撃する側も、AIを使って弱点探しを加速させています。当サイトでも、AIが攻撃を加速し、同時にAIが穴を増やしている構造を取り上げました。AIアシスタントに社内システムの道具を持たせるときは、AIの賢さだけでなく「その連携窓口がきちんと認証で守られているか」「外向きに開いていないか」まで含めて点検することが、これまで以上に大切になっています。
✓ 確認済みの事実
- ✓CVE-2026-49257は危険度10.0(満点)。認証欠如(CWE-306)(NVD)
- ✓初期設定が「認証オフ+0.0.0.0:8080で待ち受け」で、誰でもツールを呼び出せた(GHSA-73cv-556c-w3g6)
- ✓影響はv3.0.1以前。v3.1.0で修正、待ち受け先が127.0.0.1に変更
- ✓報告者はraysabee氏とPeledTomer1氏
? 現時点で未確認の点
- ?このCVE自体が実際に悪用されたという報告 ― 公開時点では確認されていない
- ?外部に露出していた稼働サーバーの台数 ― 公表されていない
よくある質問
Q. 社内ネットワークだけで使っていれば安全ですか?
A. 油断はできません。初期設定が外向き(0.0.0.0)で認証もオフのため、社内に侵入した攻撃者や、設定ミスで外部に露出したサーバーから狙われる余地があります。待ち受け先を127.0.0.1に絞る、認証を有効にする、ファイアウォールで遮断する、のいずれかを行ったうえで更新するのが安全です。
Q. Apache Pinot本体に穴があるのですか?
A. いいえ。今回の脆弱性は、AIとPinotをつなぐ連携部品mcp-pinotの初期設定の問題です。ただしmcp-pinotはPinotへの強い権限を持って動くため、突かれるとPinot側のデータが丸ごと危険にさらされます。
Q. 更新すれば本当に直りますか?
A. はい。v3.1.0では待ち受け先が手元のみ(127.0.0.1)に変わり、認証をオンにしないまま外部公開しようとすると拒否されるようになりました。最新版への更新が確実な対処です。
まとめ
CVE-2026-49257は、AIアシスタントと分析データベースApache Pinotをつなぐ連携部品mcp-pinotで、初期設定のまま誰でも外部から接続してデータベースを操作できてしまう脆弱性です。危険度は最高の10.0で、認証もオフ・待ち受けも外向きという3つの設定が重なって、無権限の攻撃者にデータベースの完全な読み書きを許す状態になっていました。
影響はv3.0.1以前で、v3.1.0で修正されています。すぐに更新できない場合は、認証の有効化・待ち受け先の限定・ファイアウォールでの遮断が応急策になります。AIに現実の道具を持たせるMCPサーバーは、便利さの裏で「つなぎ目」が新しい入口になりがちです。連携部品を取り入れるときほど、認証と公開範囲の点検を欠かさない習慣が、いちばんの守りになります。