任天堂は3月3日、Wii U版『スプラトゥーン』および『マリオカート8』において、ネットワークサービスを一時停止し、緊急メンテナンスを開始した。両作にて「オンラインプレイに関する脆弱性」が発見されたためと説明されている。また、対応には時間を要する見込みのため、サービス再開時期は未定とのこと。
今回発見されたというオンラインプレイに関する脆弱性について、その詳細を任天堂は明らかにしていない。ただ、緊急メンテナンスの対象がWii U版『スプラトゥーン』と『マリオカート8』とされていることから、昨年12月にコミュニティから報告されていた脆弱性に関連しているかもしれない。
任天堂は昨年11月中旬から、『あつまれ どうぶつの森』や『ARMS』『スーパーマリオメーカー 2』『スプラトゥーン2』『マリオカート7』など、複数のNintendo Switchおよびニンテンドー3DS向けタイトルにアップデートを配信。同社からは、「ゲームを快適に遊んでいただけるよう調整しました」や「いくつかの問題を修正しました」と説明された。
そしてこの一連のアップデート後、任天堂のファーストパーティータイトルが採用しているネットワークコードの脆弱性「ENLBufferPwn(CVE-2022-47949)」が、任天堂の承認を得たうえで、GitHubなどを通じて公表された。同脆弱性は共通脆弱性評価システムCVSS v3.1の基準にてもっとも深刻度が高いCriticalに分類されており、その脆弱性は任天堂がニンテンドー3DS時代から採用しているネットワークコード内に存在していたとのこと。
この脆弱性を利用した攻撃がおこなわれた場合、攻撃を受けたユーザーがゲームをオンラインに接続するだけで、そのゲーム機本体にてリモートコード実行が可能になるという。場合によってはゲーム機本体が完全に乗っ取られ、ユーザーのアカウント情報やクレジットカード情報が盗まれたり、搭載されたマイクやカメラで不正に録音・録画されたりといったことも、理論的には可能であると報告されていた(関連記事)。
この脆弱性の報告者は当時、Nintendo Switchおよびニンテンドー3DS向けタイトルについては先述したアップデート配信によって問題が解消されたとした一方で、Wii U版『スプラトゥーン』と『マリオカート8』については未対策であると指摘していた。つまり、今回緊急メンテナンスの対象となった2タイトルである。任天堂が詳細を明かしていない以上断言はできないものの、同社はこの重大な脆弱性への対策に乗り出した可能性がありそうだ。
Wii U版『スプラトゥーン』および『マリオカート8』の緊急メンテナンスの終了時期は未定。対応に時間を要する見込みとのことである。
