DocBase公式MCPサーバーのセキュリティ安全性を調査してみた ![4f208ad8-6605-466d-848d-7d31c42dcc58.png](https://image.docbase.io/uploads/8652382a-0356-43c1-bae1-f41f8f20a9a3.png =WxH) ## はじめに こんにちは。 DocBaseエンジニアのmassanです。 最近、MCP ( Model Context Protocol )という言葉を目にする機会が増えましたね。 まだ新しい技術のためか、MCPサーバーの脆弱性に関するニュースがいくつか報告されています。 DocBaseでも[公式MCPサーバー](https://help.docbase.io/posts/3902653)を開発・運用しているため、今回はMCPサーバーに発見された脆弱性がDocBaseMCPサーバーに潜んでいないか?を調査した結果をシェアします。 ## ニュースより ### Anthropic ファイルシステムMCPサーバーの脆弱性 https://gbhackers.com/anthropic-mcp-server-flaw/ [**CVE-2025-53110**](https://nvd.nist.gov/vuln/detail/cve-2025-53110) と [**CVE-2025-53109**](https://nvd.nist.gov/vuln/detail/cve-2025-53109) が[Anthropic ファイルシステムMCPサーバー](https://github.com/modelcontextprotocol/servers/tree/main/src/filesystem)で報告されました。 - **CVE-2025-53110** - 許可されたディレクトリ(例:`/private/tmp/allowed_dir`)外へのアクセスが可能。攻撃者は許可されたディレクトリプレフィックスを悪用して、別ディレクトリにアクセスできてしまう。 - **CVE-2025-53109** - エラーハンドリングの不備によるシンボリックリンクバイパス。許可されたディレクトリ内から`/etc/sudoers`のような重要ファイルを指すシンボリックリンクを作成することで、システムファイルの読み取りや変更が可能になる。 ### SQLite MCPサーバーのSQLインジェクション https://www.trendmicro.com/en_us/research/25/f/why-a-classic-mcp-server-vulnerability-can-undermine-your-entire-ai-agent.html AnthropicのSQLite MCPサーバーに、典型的なSQLインジェクション脆弱性が発見されました。 - ユーザー入力を直接SQL文に連結し、フィルタリングや検証なしにPythonのsqlite3ドライバーで実行していた - このサーバーはアーカイブされる前に**5,000回以上フォーク**されており、未修正のコードが何千ものダウンストリームエージェントに存在しています - すでにリポジトリはアーカイブ済み ### mcp-remoteパッケージの重大な脆弱性 https://jfrog.com/blog/2025-6514-critical-mcp-remote-rce-vulnerability/ [**CVE-2025-6514**](https://nvd.nist.gov/vuln/detail/CVE-2025-6514)がmcp-remoteプロジェクトで発見されました。 - 悪意のあるMCPサーバーが初期通信確立および認証フェーズでコマンドを埋め込み、mcp-remoteによって処理される際にOSでコマンドが実行されてしまう - mcp-remoteバージョン0.0.5から0.1.15に影響 - npmパッケージは多数ダウンロードされていたため、影響範囲が非常に広い ### MCP Inspectorの認証不備 https://www.oligo.security/blog/critical-rce-vulnerability-in-anthropic-mcp-inspector-cve-2025-49596 [**CVE-2025-49596**](https://nvd.nist.gov/vuln/detail/CVE-2025-49596)がMCP Inspector バージョン0.14.1以前で発見されました。 - Inspector クライアントとプロキシ間の認証不足により、認証されていないリクエストがstdio経由でMCPコマンドを起動可能 - デフォルト設定で認証と暗号化保護が欠けており、ローカルネットワークまたは公共インターネットにアクセスできる誰もがこれらのサーバーと相互作用し悪用する可能性 ### GitHub公式MCPサーバーのアーキテクチャ脆弱性 https://invariantlabs.ai/blog/mcp-github-vulnerability GitHub公式MCPサーバー(**14,000スター**)に影響する重要な脆弱性。 - 攻撃者が悪意のあるGitHubイシューを通じてユーザーのエージェントを乗っ取り、プライベートリポジトリからデータをリークさせることが可能 - これはGitHub MCPサーバーコードの欠陥ではなく、アーキテクチャの問題 ### MCPサーバーの広範な脆弱性調査 https://equixly.com/blog/2025/03/29/mcp-server-new-security-nightmare/ Equixlyが実施した人気MCPサーバー実装の包括的セキュリティ評価により明らかになった、MCPエコシステム全体の深刻な脆弱性状況。 - 調査の結果、公開されているMCPサーバープロジェクトには以下のような分布で脆弱性が確認された - コマンドインジェクション -> 43% - パストラバーサル/任意ファイル読み取り -> 22% - SSRF脆弱性 -> 30% - その他のセキュリティ問題 -> 5% ## DocBase公式MCPサーバーの調査 以上のニュースをもとに、DocBaseのMCPサーバーがこれらの脆弱性パターンに該当していないか、以下の観点でソースコードを調査しました。 1. **SQLインジェクション脆弱性の調査** 2. **コマンドインジェクション脆弱性の調査** 3. **パストラバーサル/ディレクトリトラバーサル脆弱性の調査** 4. **認証・認可メカニズムの確認** 5. **入力検証とサニタイゼーションの確認** 6. **外部URLフェッチ機能の制限確認** ## 調査結果 結果からいうと、**DocBase MCPサーバーには調査対象の脆弱性は発見されませんでした** ✅ ### 1. SQLインジェクション脆弱性 **調査結果**: 安全 ✅ DocBase MCPサーバーはDocBase公開APIの**HTTPクライアントとして動作**するため、直接的なSQL処理は一切行われていません。 ### 2. コマンドインジェクション脆弱性 **調査結果**: 安全 ✅ `child_process`、`exec`、`spawn`などの危険なNodejsモジュールは使用されておらず、OSコマンドを実行する機能がありません。 ### 3. パストラバーサル脆弱性 **調査結果**: 安全 ✅ ユーザー入力によるパス構築は行われていません。 ### 4. 認証・認可メカニズム **調査結果**: 安全 ✅ MCP仕様書にて要求されているOAuth 2.1準拠の認証処理を実装しています。 ### 5. 入力検証 **調査結果**: 安全 ✅ MCPツールのパラメータはすべて検証されており、不正な入力は事前に弾かれます。 ### 6. 外部URLフェッチ制限 **調査結果**: 安全 ✅ 任意のURLへのHTTPリクエスト機能は提供していないため、「制限なしURL取得」には該当しませんでした。 ## まとめ 今回の調査により、DocBaseの公式MCPサーバーは、これまでに報告された脆弱性を含んでいないことがわかりました。 しかし、セキュリティは一度確認すれば終わりではありません。 今後も定期的なセキュリティ監査を心がけて、安全なサービスを提供し続けていきます。 ## 参考文献 - [The Hacker News - Critical Vulnerability in Anthropic's MCP](https://thehackernews.com/2025/07/critical-vulnerability-in-anthropics.html) - [GB Hackers - Anthropic MCP Server Flaw](https://gbhackers.com/anthropic-mcp-server-flaw/) - [NVD - CVE-2025-53109](https://nvd.nist.gov/vuln/detail/CVE-2025-53109) - [Trend Micro - MCP Server Vulnerability Analysis](https://www.trendmicro.com/en_us/research/25/f/why-a-classic-mcp-server-vulnerability-can-undermine-your-entire-ai-agent.html) - [VirusTotal - MCP Server Analysis Report](https://blog.virustotal.com/2025/06/what-17845-github-repos-taught-us-about.html) - [Equixly - MCP Server Security Nightmare](https://equixly.com/blog/2025/03/29/mcp-server-new-security-nightmare/) - [PromptHub - MCP Security in 2025](https://www.prompthub.us/blog/mcp-security-in-2025)