2025年10月2日(現地時間)、世界中の多くのゲームやアプリケーションで採用されているゲームエンジン「Unity」に、重大な脆弱性(CVE-2025-59489)が存在することが公式に発表されました。この脆弱性を悪用されると、攻撃者によって任意のコードが実行される可能性があり、Windows、macOS、Linux、Androidで動作する非常に広範囲のゲームやアプリが影響を受けるとされています。
この発表を受け、PCゲームプラットフォームの「Steam」や「Microsoft」、人気スマートフォンゲーム「Fate/Grand Order」など、国内外の主要なプラットフォームやデベロッパーが迅速な対応に動いています。本記事では、この脆弱性の詳細、ユーザーや開発者が取るべき対策について詳しく解説します。
脆弱性(CVE-2025-59489)の深刻度と影響範囲
今回発見された脆弱性は、セキュリティ評価システムCVSS(共通脆弱性評価システム)において、スコア「8.4」と評価され、深刻度は「High(重要)」に分類されています。これは、放置すると非常に危険なレベルであることを示しています。
脆弱性の原因と潜在的なリスク
Unity Technologies社の発表によると、脆弱性の原因は「コマンドライン引数」の処理にあるとのことです。これにより、ローカルアクセス権を持つ攻撃者が、アプリケーションの権限内で任意のコードを実行できてしまう可能性があります。
具体的には、以下のようなリスクが懸念されます。
- 個人情報やセーブデータなどのデータ漏洩
- PCやスマートフォンへの不正なアクセス
- 管理者権限などを奪取される特権昇格
この脆弱性は、2024年6月にGMOサイバーセキュリティ byイエラエ(旧称:GMO Flatt Security)のリサーチャーによって発見されました。幸いなことに、10月2日の時点では、この脆弱性を悪用した攻撃は確認されておらず、ユーザーへの直接的な被害も報告されていません。
影響を受けるバージョン
影響を受けるのは**「Unity 2017.1」以降の全てのバージョン**でビルドされたゲームやアプリケーションです。これは非常に広範囲にわたり、現在リリースされているUnity製コンテンツの多くが含まれることを意味します。
開発者向けに提供される対策と解決策
Unity Technologiesは、この問題に対応するため、開発者向けに具体的な解決策を提供しています。
- パッチを適用したUnity開発環境の提供
- 既にビルド済みのアプリに適用できる専用パッチャーの提供
開発者は、自身が使用しているUnityのバージョンに対応したパッチを適用するか、リリース済みのアプリケーションにパッチャーを使用することで、脆弱性を修正することが強く推奨されています。早急な対応が、ユーザーをリスクから守る鍵となります。
SteamやMicrosoft、人気ゲームの対応状況
この発表を受け、業界全体で迅速な対応が進んでいます。
- Valve社(Steam):10月4日、Steamクライアントをアップデート。ユーザーがゲームを起動する際に、脆弱性を悪用する可能性のあるコードが含まれていた場合、起動をブロックする措置を講じました。また、Unityを利用する全ゲーム開発者へ対応を呼びかけています。
- Microsoft社:10月3日、公式アプリストアで一部のUnity製ゲームの配信を一時的に停止する対応を取りました。
- 株式会社ラセングル(Fate/Grand Order):10月3日、人気スマートフォンゲーム「Fate/Grand Order」のAndroid版に対し、脆弱性を修正するパッチを適用しました。
- VRChat社:10月4日、ソーシャルVRプラットフォーム「VRChat」のアップデートを行い、脆弱性への対応を完了しています。
このように、大手プラットフォームや人気タイトルの開発元が迅速に対応していることは、ユーザーにとって一安心できる材料と言えるでしょう。
現時点で悪用の報告はありませんが、セキュリティリスクは常に備えておくことが重要です。公式からの情報を注視し、適切な対応を取りましょう。