Unityに脆弱性、任意コード実行の恐れ　Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処

　米Unity Technologiesは10月2日（現地時間）までに、ゲームエンジン「Unity」に重大な脆弱性（CVE-2025-59489）を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。

【その他の画像】

　脆弱性はGMO Flatt Securityのリサーチャーが6月に発見した。影響度を示すCVSS（共通脆弱性評価システム）スコアは8.4で、深刻度は「High」（重要）。Unity Technologiesによれば「Unity アプリケーションで任意のコードをロードして実行することを可能にするコマンドライン引数に起因する。これにより、ローカルアクセス権を持つ悪意のある攻撃者が、アプリケーションのコンテキスト内で任意のコードを実行できる場合があり、データ漏えいや特権昇格につながる可能性がある」という。

　脆弱性が悪用された形跡は2日時点でなく、ユーザーや顧客への影響も確認していないとしている。同社は対策として、パッチを適用した各バージョンのUnity開発環境や、ビルド済みアプリ用のパッチャーを提供しており、開発者に対しこれらによる対処を呼び掛けている。

　すでに国内外のゲーム・アプリ関連事業者が対応に着手しており、例えば米Microsoftは3日、アプリストアで一部ゲームの配信を一時的に停止した。他にもValveが4日にユーザー向けのクライアントをアップデート。ユーザーがゲームを起動した際、リクエストに問題のあるコードが含まれる場合は、起動をブロックするようにしたという。あわせてUnityを活用するゲーム開発者向けにも対応を呼び掛けた。

　スマートフォンゲーム「Fate/Grand Order」を提供するラセングルも、3日に同ゲームのAndroid版に修正パッチを適用。4日には米VRChatもVRプラットフォーム「VRChat」をアップデートした。