技術的な説明
AgenticMailの@agenticmail/mcpパッケージ(バージョン0.9.27未満)は、--httpまたはMCP_HTTP=1で起動された場合、/mcpエンドポイントでストリーマブルHTTPトランスポートを露出します。このエンドポイントはHTTP認証層なしですべてのMCPリクエストを受け入れ、任意のリモートクライアントが任意のメールを読み取り、任意のユーザーに代わってメールを送信し、AgenticMailアカウントに関連付けられた電話番号にアクセスでき、認証情報なしで完全なアカウント乗っ取りが可能です。
攻撃経路
/mcp HTTPエンドポイントへのネットワークアクセスを持つ任意のリモートクライアントは、認証されていないMCPツールコールを送信できます。これはAIエージェントに実際のメールアドレスと電話番号の機能を提供するMCPサーバーにおける認証されていないアクセス制御の失敗であり、偵察、フィッシングインフラストラクチャのセットアップ、および大規模なアカウント乗っ取りの高価値ターゲットになります。
影響を受けるシステム
バージョン0.9.27より前の@agenticmail/mcpパッケージ。AgenticMailは、本番用途でAIエージェントに実際のメールアドレスと電話番号を割り当てるプラットフォームです。
緩和策
@agenticmail/mcpバージョン0.9.27以降にアップグレードしてください。パッチが適用されるまで、/mcp HTTPエンドポイントを信頼されていない当事者がアクセスできるネットワークセグメントに露出させないでください。HTTPモードの代わりに標準入出力トランスポートモードを推奨します。