Global Sites
「RPGツクールMV/MZ」にて、“任意コマンド実行”の脆弱性が報告される。公式は「不審なゲーム・セーブ・素材」を使わないよう注意喚起
「RPGツクールMV」および「RPGツクールMZ」について、任意のOSコマンドが実行可能となる脆弱性が報告されている。

脆弱性対策情報ポータルサイトJapan Vulnerability Notes(以下、JVN)は6月30日、「RPGツクールMV」および「RPGツクールMZ」について、任意のOSコマンドが実行可能となる脆弱性を報告した。開発元のGotcha Gotcha Gamesはこれを受けて、出所が不明または信頼できないゲーム・セーブデータ・素材等を読み込まないようユーザーに注意喚起をおこなっている。
「RPGツクール」は、プログラミングの知識がなくても「誰でも簡単にオリジナルRPGが作れる」と謳われるゲーム制作ソフトだ。豊富な素材が同梱されているため、アイデアさえあれば気軽にゲーム開発が可能となる。「RPGツクールMV」ではHTML5/JavaScriptをベースとし、シリーズとして初めてマルチプラットフォームに対応し、「RPGツクールMZ」ではその後継として機能の強化が図られた。なお、先日には“HD-2D風”の表現が可能となる最新作「RPGツクールU2U」が発表されている(関連記事)。

IPA(情報処理推進機構)およびJPCERT/CCが共同で運営する、脆弱性対策情報ポータルサイトJVNは6月30日、「JVN#69681784」として「RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性」を報告した。対象となるバージョンにおいては、セーブデータ機能を用いてセーブデータを読み込む際に、細工された内容を適切に扱うことができずOSコマンドインジェクション、任意のOSコマンドの実行に悪用される可能性があるという。
影響を受けるのは「RPGツクールMV」のバージョン1.6.3およびそれ以前、「RPGツクールMZ」の1.10.0およびそれ以前のバージョン。それぞれ本稿執筆時点で配信されている最新のアップデートまでのすべてのバージョンが脆弱性の対象となっており、影響範囲は大きい。

弊誌で確認した限り、現時点では脆弱性に対応したアップデートの配信はされておらず、ワークアラウンドとして注意喚起がおこなわれている状況のようだ。Gotcha Gotcha Gamesは公式サイトにて、出所が不明または信頼できないゲーム・セーブデータ・素材などを読み込まないように注意喚起。安全性を確認できないデータとして、SNS・掲示板・ファイル共有サービス等で配布されているものや、作成者配布元を確認できないもの、内容や目的が不明なもの、第三者から個別に送付され信頼性を確認できないものなどを挙げている。特にセーブデータについては、自身のプレイで作成したものを利用するように説明した。なお同社はXにて、プラグインや素材の配布・利用を否定するものではないとの立場を示している。
「RPGツクール」は個人開発者や小規模スタジオなどで広く採用されており、コミュニティではゲーム本体に加えて、プラグインや素材が配布されている。また攻略や検証、不具合報告などを目的に、ユーザー間でセーブデータがやり取りされるケースも存在する。該当するツールを用いてゲームを制作またはプレイする際には、入手元を必ず確認し、信頼できるデータのみを利用するように注意されたい。
この記事にはアフィリエイトリンクが含まれる場合があります。


