Unity製ゲームで「任意コード実行」可能な脆弱性が報告される。PCゲーマーはいますぐSteamクライアント更新で対策を

PCゲームプラットフォームSteamを運営するValveは10月4日、Unityでゲームを開発しているデベロッパーへ向けて、Unityで作成されたアプリケーションにユーザーのマシンをリモートから攻撃できる脆弱性があることについての注意喚起をおこなった。この問題は「CVE-2025-59489」として報告されている。

Unity社によれば、CVE-2025-59489の影響範囲は、Unity 2017.1以降でビルドされたAndroid/Windows/macOS/Linux用のすべてのゲームおよびアプリケーションとのことである。この脆弱性により攻撃者はUnityアプリケーションに渡すコマンドライン引数を制御できるようになり、プラットフォームに応じて任意の共有ライブラリ（.so ファイル）をロードして悪意あるコードを実行できるようになるという。同社は、これまでに脆弱性が悪用された形跡はいずれのプラットフォームでも確認されていないとしている。Valve社、Unity社だけでなく、脆弱性の発見者であるRyotaK氏も、本件についての注意喚起をおこなっている。

この事態を受けてValve社は、すべてのユーザー向けにSteamクライアントのアップデートを配信。アップデートをおこなえば、Steam上のゲームやアプリケーションに脆弱性が存在していても、Steamクライアントの側で脆弱性を利用しようとする試みを検知して起動をブロックすることができるようになる。Steamを利用しているユーザーは、クライアントのアップデートをしておくのが賢明だろう。そのほか、マイクロソフト社も本件への対策について発表。ゲームやアプリケーションの更新が進められており、Windowsでは多くの場合、ソフトウェアが最新の状態かつデバイス上でMicrosoft Defenderが実行されていれば安全とのこと。

また、Unity社は開発者に向け、本件に対処するための修正ガイドを公開した。同ページ内ではプラットフォームごとの影響の違いについての説明がされているほか、パッチ適用ツールの配信ページへの案内がおこなわれている。Unityを利用しているデベロッパーは、なるべく早く本件に対処されたい。

ちなみにCVE-2025-59489は、GMO Flatt Security株式会社のセキュリティリサーチャーRyotaK氏が、Meta社主催のカンファレンス「Meta Bug Bounty Researcher Conference 2025」にて発見したものだという。同氏は同イベント内でもっとも影響の大きい脆弱性を報告したとして「Most Impact Award」を受賞、ほかにも合計で未知の脆弱性を15個発見したこともあり、全参加者中で1位を獲得している。

なお、カンファレンスが開催されたのは2025年5月のことである。Unity社やValve社などが問題に対処するための準備が十分に整ってから情報が公開されたというわけだ。

ゲーマーが安心してゲームを楽しめる環境は、知られざるところでセキュリティを向上させるために日夜奮闘している技術者に支えられている側面もある。次にSteamクライアントを更新する際には、アップデートのプログレスバーを眺めながら、そのはたらきに感謝するのも良いかもしれない。