はじめに:Unityの深刻な脆弱性
Unityゲームエンジンにコード実行の脆弱性が発見され、ゲーマーが攻撃に晒される危険性があるとして、SteamとMicrosoftが警告を発しています。この脆弱性は、Androidデバイス上でコード実行を可能にし、Windows上では権限昇格を引き起こす可能性があります。
Unityは、Windows、macOS、Android、iOS、コンソール、ウェブ向けにタイトルを作成するためのレンダリング、物理演算、アニメーション、スクリプトツールを提供するクロスプラットフォームのゲームエンジンおよび開発プラットフォームです。多数のモバイルゲームや、インディーおよびミッドティアのPC/コンソールタイトルがUnityで構築されており、非ゲーム業界でもリアルタイム3Dアプリケーションに利用されています。
ValveとMicrosoftの対応
このリスクに対応するため、Steamは配布プラットフォームを介した悪用を防ぐために、カスタムURIスキームの起動をブロックする新しいクライアントアップデートをリリースしました。同時に、Valveはパブリッシャーに対し、安全なUnityバージョンでゲームを再構築するか、パッチ適用済みの「UnityPlayer.dll」ファイルを既存のビルドに組み込むよう推奨しています。
Microsoftもこの問題について警告する速報を公開し、CVE-2025-59489に対処する新しいバージョンが利用可能になるまで、脆弱なゲームをアンインストールするようユーザーに推奨しています。同社は、人気ゲームタイトルが脆弱であると述べており、具体的には以下のゲームが挙げられています。
- Hearthstone
- The Elder Scrolls: Blades
- Fallout Shelter
- DOOM (2019)
- Wasteland 3
- Forza Customs
Unityからの推奨事項と脆弱性の詳細
Unityは開発者に対し、エディタを最新バージョンブランチに更新し、その後ゲームやアプリケーションを再コンパイルして再デプロイするよう推奨しています。
この脆弱性はCVE-2025-59489として追跡されており、ランタイムコンポーネントに影響を与えます。これは安全でないファイルロードとローカルファイルインクルージョンを許容し、コード実行や情報漏洩につながる可能性があります。GMO Flatt Securityの研究者「RyotaK」氏が5月にMeta Bug Bounty Researcher Conferenceでこの脆弱性を発見し、2017.1以降のエンジンバージョンで構築されたすべてのゲームに影響すると述べています。
Unityはセキュリティ速報で、「[この脆弱性は]エンドユーザーデバイス上でUnityで構築されたアプリケーションを実行している場合、ローカルコード実行と機密情報へのアクセスを可能にする可能性がある」と警告しています。「コード実行は脆弱なアプリケーションの権限レベルに限定され、情報漏洩は脆弱なアプリケーションが利用できる情報に限定される」とのことです。
技術的背景と影響範囲
RyotaK氏の技術的な解説によると、UnityのAndroid Intentの処理が、脆弱なゲームと同じデバイスにインストールされた悪意のあるアプリが、攻撃者提供のネイティブライブラリをロードして実行することを許容します。これにより、攻撃者はターゲットゲームの権限で任意のコード実行を達成できます。
RyotaK氏がAndroidでこの問題を発見した一方で、根本原因であるUnityの`-xrsdk-pre-init-library`コマンドライン引数の不適切な検証またはサニタイズは、Windows、macOS、Linuxのオペレーティングプラットフォームにも存在します。これらのシステムには、信頼できない引数を供給したり、ターゲットアプリケーションのライブラリ検索パスを変更したりする異なる入力パスが存在するため、条件が満たされれば悪用が可能です。
Unityは、10月2日の速報公開時点では、積極的な悪用は確認されていないと述べています。
修正と対策
修正は利用可能であり、対策としては「Unity Editorを最新バージョンに更新し、その後アプリケーションを再構築して再デプロイする」こと、または「Unityランタイムバイナリをパッチ適用済みのバージョンに置き換える」ことが含まれます。Unityは、2019.1以降のサポート終了バージョンにも修正をリリースしています。ただし、これより古いサポート対象外のバージョンにはパッチは提供されません。