Unityゲームエンジンのコード実行の脆弱性が悪用されると、Androidでのコード実行やWindowsでの権限昇格が可能になる恐れがあります。
Unityはクロスプラットフォームのゲームエンジンおよび開発プラットフォームで、開発者がWindows、macOS、Android、iOS、コンソール、Web向けのタイトルを作成するためのレンダリング、物理演算、アニメーション、スクリプトツールを提供しています。
多くのモバイルゲームがUnityで開発されており、インディーや中規模のPC/コンソールタイトルにも利用されています。また、非ゲーム業界でもリアルタイム3Dアプリケーションのために使用されています。
ValveとMicrosoftがユーザーに警告
リスクへの対応として、Steamは新しいクライアントアップデートをリリースし、独自のURIスキームの起動をブロックして、配信プラットフォームを通じた悪用を防止しています。
同時に、Valveはパブリッシャーに対し、安全なUnityバージョンでゲームを再ビルドするか、パッチ適用済みの「UnityPlayer.dll」ファイルを既存のビルドに直接組み込むことを推奨しています。
Microsoftもまた、この問題について注意喚起の文書を公開し、CVE-2025-59489に対応した新バージョンが提供されるまで、脆弱なゲームをアンインストールするようユーザーに推奨しています。
同社によると、『Hearthstone』『The Elder Scrolls: Blades』『Fallout Shelter』『DOOM (2019)』『Wasteland 3』『Forza Customs』などの人気ゲームタイトルが脆弱であるとしています。
Unityは開発者に対し、エディターを最新バージョンにアップデートし、ゲームやアプリケーションを再コンパイル・再配布するよう推奨しています。
一部のサポート終了バージョンにもパッチを拡大
この脆弱性はCVE-2025-59489として追跡されており、ランタイムコンポーネントに影響します。安全でないファイルの読み込みやローカルファイルのインクルードが可能となり、コード実行や情報漏洩につながる恐れがあります。
GMO Flatt Securityの研究者「RyotaK」氏がこの脆弱性を5月にMeta Bug Bounty Researcher Conferenceで発見し、2017.1以降のエンジンバージョンで作られたすべてのゲームに影響があるとしています。
「[この脆弱性]は、Unity製アプリケーションを実行しているエンドユーザーのデバイス上でローカルコード実行や機密情報へのアクセスを可能にする可能性があります」とUnityはセキュリティ速報で警告しています。
「コード実行は脆弱なアプリケーションの権限レベルに制限され、情報漏洩も脆弱なアプリケーションがアクセス可能な情報に限定されます。」
技術的な解説の中で、RyotaK氏はUnityのAndroid Intentsの処理により、同じデバイスにインストールされた悪意のあるアプリが攻撃者が用意したネイティブライブラリを読み込んで実行できることを示しました。
これにより、攻撃者はターゲットとなるゲームの権限で任意のコードを実行することが可能になります。
RyotaK氏はAndroidでこの問題を発見しましたが、根本的な原因であるUnityの-xrsdk-pre-init-libraryコマンドライン引数の適切な検証やサニタイズの欠如は、Windows、macOS、Linuxの各プラットフォームにも存在します。
これらのシステムでは、信頼できない引数を渡したり、ターゲットアプリケーションのライブラリ検索パスを変更したりできる異なる入力経路があるため、条件が揃えば悪用が可能です。
Unityは、10月2日のセキュリティ速報公開時点で、実際の悪用は確認されていないとしています。
修正は提供されており、対応手順として「Unity Editorを最新バージョンにアップデートし、アプリケーションを再ビルド・再配布する」ことや、Unityランタイムバイナリをパッチ適用済みのものに置き換えることが含まれます。
Unityは2019.1以降のサポート終了バージョンにも修正をリリースしています。サポートが終了したより古いバージョンにはパッチは提供されません。
