核となるキーポイント
2025年、カーソルIDEが次々と爆発するセキュリティ・インシデントの6つのカテゴリー本ガイドは、3200人以上の開発者と数百万ドルの経済的損失が発生した実際のインシデントに基づいています。このガイドでは、実際に発生したインシデントに基づき、組織が「徹底的な防御」システムを構築できるよう、企業レベルの防御ソリューションを開発しています。
センター(推薦):
- ❌ 禁止事項プライベートAPIキー、非公式エクステンションソース、自動MCPロード
- ✅ 必須項目:プライバシー・モード有効化、MCPゼロトラスト承認、依存性スキャン、ログ監視
- 🔄 周期期間30日間の構成監査、90日間のキーローテーション、四半期ごとの詳細評価
I. カーソルIDEの紹介
1.1 コア・コンセプト
カーソルは、Visual Studio CodeをベースとしたAI主導の統合開発環境(IDE)で、最新の開発ワークフロー向けに設計されています。大規模言語モデル(LLM)を統合することで、Cursorはコード生成、インテリジェント補完、自動修復などの機能を提供し、開発効率を大幅に向上させます。
主な特徴
- AIコードの生成と補完(OpenAI、Anthropic、Google Vertexなどに対応)
- モデルコンテキストプロトコル(MCP)統合による外部ツールやデータソースへの接続
- プライバシー・モード(プライバシー・モード)、ゼロ・コード保持のコミットメントを提供します。
- エンタープライズSSOとチーム管理 (Cursor Business)
- ルールベースのエージェント設定 (.cursorrules)
1.2 市場の現状
採用率: フォーチュン500社250社以上を含む50,000以上の組織で使用されている
開発者ベース: 全世界で数百万人のデベロッパーが毎日利用
バージョンの進化:
- v1.0-v1.2:いくつかの重大なセキュリティ脆弱性を含む初期バージョン
- v1.3+: 重要なパッチリリース、CVE-2025-54135, CVE-2025-54136, CVE-2025-59944 を修正
1.3 建築的特徴
キー・アーキテクチャー:
- カーソルローカルIDE → MCP設定 → 外部ツール接続 → LLM推論 → コードサジェストと自動実行
主要な建築リスク:
AIエージェントは、ファイルシステムへのアクセス、システムコマンドの実行、コンフィギュレーションファイルの変更を行う開発者レベルの権限を持っており、攻撃対象として価値が高い。
2025年におけるセキュリティ・インシデントの構造と教訓
2.1 6つの出来事と進化の道筋の概要
時系列と相関関係:
重要な発見である:
3つのCVEがMCPメカニズム(50%に相当)の中核的な欠陥を指摘しています。
33%の)大きなブレークスルーとなるのは、サプライチェーンの拡大と依存です。
経済的損失モデルの進化:データ漏洩→資産盗難→コスト枯渇
2.2 イベント 1: MCP コンフィギュレーションの永続性 RCE - CVE-2025-54136 (MCPoison(エムシーポイズン)
検出ユニットチェック・ポイント・リサーチ
厳しさCVSS 7.2 (高)
復元版カーソル 1.3+
攻撃フローチャート:
上記の MCPoison 攻撃の連鎖のパノラマから、CVE-2025-54136 の脆弱性は、Cursor IDE の MCP 信頼メカニズムの欠陥を悪用しています。攻撃者はまず、一見正当な MCP コンフィギュレーションを提出し、開発者が一度だけ承認した後、数日または数週間後にコンフィギュレーションを変更し、シェルコマンドをリバースします。重要な問題は、Cursorがコンフィギュレーションの変更を再承認せず、自動的にロードして実行することです。
改善Cursor 1.3 以降の設定変更により、自動的に再承認が行われます。
2.3 イベント 2: MCP プロンプト・インジェクション RCE - CVE-2025-54135 (CurXecute)
検出ユニット: Aim Labs, Backslash Security, HiddenLayer
厳しさCVSS 8.6 (クリティカル)
復元版カーソル 1.3+
技術的詳細:
攻撃の方向性:MCPの設定を変更せず、MCPを使用して悪意のあるデータを返す。
サンプルシナリオ図:
CVE-2025-54135 は、Cursor Agent Mode の「自律実行」設計上の欠陥を悪用しています。攻撃者は、一見正当なMCPサービス(Slack統合、GitHub APIプロキシなど)を展開し、返されたデータにコマンドを隠し、Cursor AgentがMCP設定を悪意のあるスクリプトに自動的に変更するよう誘導します。エージェントはデフォルトで再確認なしに実行されるため、ハッカーは開発者が気付かないうちに永続的なRCEバックドアを作成することができます。
2.4 イベント 3: ファイル名ケースバイパス - CVE-2025-59944
検出ユニットラケラ
厳しさハイ
復元版カーソル 1.7+
脆弱性の原則:
カーソル保護ルール(大文字と小文字を区別する):
protected_files = [
“.cursor/mcp.json”。,
“.vscode/tasks.json”。,
...
]
if (pathがprotected_filesにある場合) {。
show_approval_prompt() // 承認ダイアログを表示する
}
問題:Windows/macOSのファイルシステムは大文字と小文字を区別しない
バイパス方式: 
CVE-2025-59944 ファイル名の大文字小文字を区別しない この脆弱性は、Cursor に関する一般的な誤解、すなわち、すべてのオペレーティング・シ ステムが大文字小文字を区別するという仮定を暴露するものです。攻撃者は .cUrSoR/mcp.json (大文字と小文字が混在) を作成し、Windows と macOS では自動的に .cursor/ として OS によって解析され、Cursor の保護チェックを完全にバイパスします。Cursorの.cursorignoreは正確な小文字の.cursor/からしか保護しないため、悪意のあるコンフィギュレーションがサイレントでロードされます。
影響を受けるプラットフォーム:
- マックオスHFS+ (大文字と小文字は区別されません)
- ウィンドウズNTFS (大文字と小文字は区別されません)
- リナックスext4 (大文字と小文字を区別する ✗ 影響なし)
2.5 インシデント4:悪意のある拡張サプライチェーン - $500K 暗号通貨窃盗
回:: 2025年7月
すじオープンVSXレジストリ(非公式)
ダウンロード50,000回以上
損害賠償:: 〜$ 500,000ドル
ケーススタディ:
この事件は、開発ツール市場における最大のリスクを示している。攻撃者は、偽の「Solidity Language Support」拡張機能 (50,000 件以上のダウンロード) を VS Code Marketplace に掲載し、開発者を騙してインストールさせました。拡張機能が有効化されると、隠されたPowerShellスクリプトがScreenConnectバックドアをダウンロードし、リモートアクセスを確立します。その後、Quasar RAT (Remote Access Trojan)とStealerプログラムが展開され、ブラウザのパスワード保管庫、電子メールクライアント、暗号通貨ウォレットを自動的にスキャンする。最終的に、攻撃者はウォレットのシードフレーズを取得し、すべての暗号資産を転送する。全プロセスはインストールから完全な侵害までわずか1時間で、$500K+の被害をもたらした。
なぜうまくいくのか。:
- オープン VSX レジストリが拡張署名検証を強制しない
- Cursor はデフォルトで拡張ソースを検証しません (extensions.verifySignature = false)
- ✗ デベロッパー・トラスト・レジストリ(公式に見える)
- コードがコンパイル製品に隠されている。
2.6 Incident 5: npmパッケージのサプライチェーン - 3200人以上の開発者のコードリーク
回2025年5月
悪意のあるパケット:スウカー, sw-cur1, アイディキュール
ダウンロード持続的成長(震災前)
死傷者:: 3200人以上の開発者
ソーシャル・エンジニアリング分析:
これは2025年における最も憂慮すべきサプライチェーン攻撃である。開発者のコスト最適化の心理を利用し、攻撃者はnpmでsw-cur(「最も安価なCursor APIラッパー」)を公開し、合法的なAPIコスト抑制ソリューションを提供しているように見せている。しかし、開発者がrequire(”sw-cur”)を実行すると、隠されたペイロードが.env、SSH秘密鍵、AWS認証情報、bash履歴などの機密情報を無言で盗み出し、キーロガーをインストールします。感染した開発者がコードをコミットした後、リポジトリをクローンして npm install を実行した下流の開発者もすべて感染する。攻撃者は24時間以内に3200人以上の開発者の完全な認証情報を入手し、企業イントラネットに侵入してすべてのソースコードを盗み出し、さらには顧客の製品に悪意のあるコードを注入してサプライチェーン汚染を達成する。
2.7 インシデント6:予算枯渇攻撃
回:: 2025年12月
メカニズムOXセキュリティ(研究チーム)
背景を知る: デベロッパーが誤って毎月の予算を使い果たし、調査を要請
ディープリンク攻撃 - カーソル予算爆発 コンプリートリンクは、2025年におけるカーソルの最も経済的に破壊的な攻撃である。
攻撃者は悪意のあるディープチェーンを構築する:
cursor://deeplink?action=setUsageLimit&value=1000000
cursor://deeplink?action=startInfiniteRequests&model=gpt4
メールやSlackでユーザーと共有します。ユーザーがそれをクリックすると、Cursorアプリが自動的に開き、一連のアクションを無言で実行する。パラメータを注入し、コマンドパレットを開き、課金ページに移動し、毎月の予算上限を$1,000,000に変更する。重要な欠点は、これらのアクションは検証を必要とせず、管理者による承認も必要ないことだ。その後、2つ目のディープチェーンが無限リクエストループを引き起こし、数百万トークンを消費し、わずか5分で$1M以上のAPI料金が発生した。企業アカウントは即座にロックアウトされ、サービスの中断、財務監査、データ漏洩調査の可能性につながった。
結果
- 数百万トークンが一瞬にして消費された。
- 費用は$1M+に高騰した。
- 企業アカウントのロック
III.企業セキュリティ構成のガイドライン
3.1 データ保護レイヤー - プライバシー・モードとルール
カーソルはVSCODE開発に基づいて、ユーザーはai補助開発のための開発プロセスのエージェント、質問、編集モードを使用することができます。
セキュリティの仕様と設定
マスト]セキュリティ規範を遵守し、高サードクラスのコードの送信を禁止し、企業はコードリポジトリの分類とグレーディングを開発する必要があります、このような高、中、低として、コードの漏えいは、カーソルの使用を禁止する提案の会社の大きな損失につながる可能性があり、唯一のミディアムと低リスクのコードリポジトリの使用は、会社のビジネス、アルゴリズム、秘密鍵や重要なリスクを持つ他のコアの重要なインフラストラクチャを与えることはありません。
[必須】手動で「プライバシーモード」をオンにする。“
設定項目:
設定パス:設定 → 機能 → プライバシーモード
ステータス: ✓ 有効 (すべての開発者)
コマンドラインを確認する:
# settings.jsonのプライバシーモード設定の確認
cat ~/.cursor/settings.json | grep -i プライバシー
# 期待される出力
“privacy.mode”: true
プライバシーモードの適用範囲:
コード・データ:カーソル・サーバーの永続ストレージはゼロ
モデルトレーニング:モデルトレーニングに使用されなくなった。
ベクトル埋め込み:一時的にメモリに保存される(リクエスト完了後に削除される)
ロギング:すべてのロギング関数のノーオペ
コードベース・インデックスとプライバシー・モードの相互作用:
コストとパフォーマンスのトレードオフ:
プライバシーモードが有効な場合、パフォーマンスが低下することがあります。(事前計算されたキャッシュ埋め込みが使用できないため)。
企業レベルのアドバイス
- データ感度 ≥ INTERNAL: プライバシーモード有効
- コードに顧客データ/PIIが含まれている:有効にする必要があります。
- 金融/医療/政府部門:自己展開モデルを可能にし、利用する必要がある
3.1.2 コードベース・インデックスの構成とリスク評価
[必須】AIによる読み取りとインデックス作成を許可しないファイル/ディレクトリを定義する。カーソル自身の“無視ファイル”.gitignore “と同じ構文でコードベースに”.cursorignore "ファイルを作成し、AIインデックスが使用を許可しないコードファイルやディレクトリを内部的に定義する。
⚠️ 注:[Cursorでコード・ディレクトリをインポートする前に、.cursorignoreファイルを作成し、アクセスを許可しないファイルを定義する必要があります。]
.cursorignoreの例を以下に示す:
.cursorignoreファイルが作成され、書き込まれた後、コードディレクトリはcursor
.cursorignoreにヒットするファイルは、AIのコンテキスト参照で選択できません。
企業レベルでの3つのプログラム構成のマトリックス:
| 規範 | 構成1:信頼ゼロ | コンフィギュレーション2:バランス(推奨) | コンフィギュレーション3:ハイパフォーマンス(ノン・センシティブ) |
|---|---|---|---|
| コードベース索引 | ❌ OFF | ✅ オン | ✅ オン |
| プライバシー・モード | オン(必須) | オン(必須) | ⚠️ OFF(要承認) |
| 機密文書の除外 | すべてを排除する | .cursorignore コンフィギュレーション | 特別な設定なし |
| セマンティックサーチ | ❌ 利用不可 | 在庫に限りがあります。 | ✅ 完全に利用可能 |
| コードの完成度 | 🟡 ミディアム | 🟢 高い | ベスト 🟢 ベスト |
| パフォーマンスへの影響 | ↓↓ 20-30% | ↓ 5-10% | ↑ 最適 |
| プライバシー | 🟢 最高値 | 🟢 高い | 🜎 ミディアム |
| コンプライアンス・リスク | ✅ GDPR/SOC2 採用 | ✅ GDPR/SOC2 採用 | ⚠️ リスクアセスメントが必要 |
| (製造原価 | 最小(ターボバッファなし) | 控えめ | 高(ターボバッファ蓄熱)**2 |
| 適用業種 | 金融, ヘルスケア, 政府 | 一般企業向けアプリケーション | オープンソース、機密性のないプロトタイプ |
| ユーザーエクスペリエンス | インフラ | 良好 | 顕著 |
| 複雑性の管理 | 俯す | 控えめ | 御前 |
* プライバシー・モードがオンの場合、インデックスにはコード構造のみが含まれ、完全なソースコードは含まれません。
3.1.3 .cursorignore による機密ファイルの隔離
[必須] 外部ルールファイルの直接使用を禁止する。
1.カーソルのルール機能
https://docs.cursor.com/context/rules
ルールは、ユーザー・ルール、プロジェクト・ルールに分けられる。
| ユーザールールを設定する:“I am not chatgpt ”を求める。”
プロジェクトのルールを設定する:“I am deepseek ”の出力が必要。” | 答えはチャット中のルールに基づく: |
# .cursorignore 設定例 (プロジェクトのルートディレクトリに配置)
.cursorrulesによるカスタマイズにより、アプリケーションのセキュリティ制約を引き続き検討できる
参照する:https://github.com/PatrickJS/awesome-cursorrules
カーソル除外ファイルメソッド
参照する:https://cursor.com/cn/docs/context/ignore-files#-1
例
.cursorignore
config.json # 専用ファイル
dist/#ディレクトリ
*.log # ファイルの拡張子
**/# ネストされたディレクトリ
app/ # 無視から除外(ネゲート)
構成チェック
カーソル設定 → コードベースのインデックス → 除外パターン
3.2 MCPトラスト・マネジメント ゼロ・トラスト・アーキテクチャ
3.2.1 MCPガバナンスの枠組み(主要なもの)
基本原則:
デフォルトの拒否:デフォルトでは、すべてのMCPサーバーが拒否される。
明示的承認:ケースバイケースで明示的に承認されなければならない
定期的な見直し:定期的な見直しとローテーション
不変監査:監査ログは改ざんできない
4層防御の枠組み
3.2.2 MCPプロファイル管理
例: Enterprise .cursor/rules/mcp.json
{
“「バージョン”: “1.0”、,
“「mcpServers”: {.
“github-api”: {。
“コマンド”: “/opt/mcp-servers/github-wrapper.sh”、,
“args”: [“-token”, “${GITHUB_TOKEN}”]、,
“「env”: {
“ALLOWED_REPOS”: “org/repo1,org/repo2”、,
“max_api_calls”: “100”
},
“sandboxConfig”: {
“「ネットワーク”: {
“allowedDomains”: [“api.github.com”, “github.com”]、,
“maxBandwidth”: “5Mbps”
},
“「ファイルシステム”: {
“「readOnly”: [“/app/config”]、,
“「temporary”:[“/tmp”]。
}
},
“「approvalInfo”: {
“approvedBy”: “security@company.com”、,
“approvalDate”: “2026-01-15T10:30:00Z”,
“approvalHash”: “sha256:abc123...”,
“expirationDate”: “2026-01-15T10:30:00Z”,
“reviewNotes”: “自動コードレビューコメントに使用”
}
},
“カスタムプラグイン”: {
“comment”: “❌ DEPRECATED - REMOVED BY 2026-02-01”.,
“コマンド”: “/opt/mcp/deprecated.sh”、,
“sandboxConfig”: { “disabled”: true }.
}
},
“trustSettings”: {
“requireReapprovalOnConfigChange”:真、,
“reapprovalIntervalDays”:90日、,
“auditLogPath”: “/var/log/cursor-mcp-audit.json”
}
}
IV.企業導入のチェックリストとベストプラクティス
4.1 企業導入チェックリスト
結果:95%+の既知のカーソルIDE攻撃のリスクが減少
4.2 デベロッパー規範
カーソルを安全に使用するための開発者ガイド
##必見 (5)
✅ プライバシーモードが有効であること 設定 → プライバシーモード → 有効
MCPは承認されたリストしか使用できない。内部Wikiをチェック。 新しいMCPを使いたい?
公式VS Code Marketplaceからのみインストールされる拡張機能 ✅ 公式VS Code Marketplaceからのみインストールされる拡張機能 Open VSXまたは他のソースの使用が禁止されていますが、Open VSXで有用な拡張機能を見つけましたか?セキュリティチームへのフィードバック
✅ コードやプロンプトにキーを入力しない。環境変数を使う: process.env.API_KEY ハードコードしない: sk_live_1234567890abcdef (❌ error)
✅ .cursorignore が有効かどうかを定期的にチェックする。
検証:カーソルの設定 → コードベースのインデックス → 無視されるパターン
すべての機密ファイル(.env、*.pem、パスワードなど)を含むこと。
カーソルのセキュリティは、技術的な問題だけでなく、次のような問題でもある。組織文化とプロセスその現れである。企業は、SAMM(ソフトウェア保証成熟度モデル)に基づいて現在の成熟度レベルを評価し、段階的なハードニング計画を策定することが推奨される。開発効率を追求しつつ常に安全が第一だ。。
V. 参考文献
[1] (2026). ソースコードと開発環境を安全に保つ。. https://cursor.com/security
[2] (2025). プライバシーモード:データ保持ゼロ。. https://cursor.com/docs/privacy-mode
[3] (2025). エンタープライズSSOとチーム管理。. https://cursor.com/teams
[4](2025).カーソルウィンドサーフGoogleアンチグラビティサプライチェーン攻略分析。. https://www.cncso.com/ai-ide-cursor-windsurf-google-antigravity-report.html
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/cursor-ide-secure-development-guide.html。
