技術的な説明
AgenticMailの@agenticmail/mcpパッケージ(バージョン0.9.27未満)は、--httpまたはMCP_HTTP=1で起動された場合、/mcpエンドポイントでストリーム可能なHTTPトランスポートを公開します。このエンドポイントは、HTTPの認証レイヤーなしにすべてのMCPリクエストを受け付け、リモートクライアントが任意のメールを読む、任意のユーザーの代わりにメールを送信し、AgenticMailアカウントに関連付けられた電話番号にアクセスすることができます — 認証情報なしでの完全なアカウント乗っ取り。
攻撃経路
/mcp HTTPエンドポイントへのネットワークアクセスを持つリモートクライアントは、認証されていないMCPツール呼び出しを送信できます。これは、AI エージェントに実際のメールアドレスと電話番号の機能を提供するMCPサーバーにおける認証されていないアクセス制御の失敗であり、偵察、フィッシングインフラストラクチャのセットアップ、および大規模なアカウント乗っ取りの高価値ターゲットとなります。
影響を受けるシステム
@agenticmail/mcpパッケージバージョン0.9.27より前。AgenticMailは、本番環境での使用のためにAIエージェントに実際のメールアドレスと電話番号を割り当てるプラットフォームです。
緩和策
@agenticmail/mcpバージョン0.9.27以降にアップグレードしてください。パッチが適用されるまで、/mcp HTTPエンドポイントを、信頼できない関係者がアクセス可能なネットワークセグメントに公開しないでください。HTTPモードではなくstdioトランスポートモードを使用することをお勧めします。