Unityの脆弱性が世界中のゲーマーとゲーム開発者に影響(CVE-2025-59489)

セキュリティニュース

投稿日時: 更新日時:

Unityの脆弱性が世界中のゲーマーとゲーム開発者に影響(CVE-2025-59489)

Unityは、Unity 2017.1 以降でビルドされたゲーム/アプリに影響するランタイムの脆弱性(CVE-2025-59489)を公表しました。引数インジェクションと信頼されていない検索パス(CWE-426)が組み合わさることで、意図しない場所のライブラリを読み込ませ、結果としてローカル権限で任意コード実行や情報窃取が起こり得る問題です。

Unityは2025年10月2日に修正を公開し、該当バージョンでビルドした全アプリの再ビルド+再配信を強く推奨しています。

現時点で悪用の証拠は公表されていません。

影響するプラットフォームと深刻度

影響は

・Android

・Windows

・macOS

・Linux(デスクトップ/組み込み)

に及び、Unity の評価では CVSS 8.4(High)とされています。CNA(MITRE)は 7.4、CISA-ADP は 8.4 と評価は分かれるものの、高リスクである点は一致しています。Microsoft の告知によれば Xbox コンソールと Xbox Cloud Gaming、そして iOS は今回の脆弱性の対象外です。

なおこの脆弱性はGMO Flatt Security のRyotaK 氏よって発見されました。

影響するUnityエディター(ビルド元)と“直し方”

2017.1 以降のエディターでビルドされたアプリは原則として影響を受ける可能性があり、Unity は 2019.1 以降を中心に広範な修正済みラインを公開しています。ただし、エディターを新しくするだけでは完了ではなく、その修正済みエディターで各プラットフォーム向けに再ビルドし、配信し直すことが不可欠です。

積極的に更新が難しいタイトル向けには、Unity が提供するバイナリパッチツールで Unity ランタイムの DLL を差し替える選択肢も用意されています。どのラインで直すべきかは公式の対応表で確認し、プロジェクトに合致するバージョンを選んでください。

安全策:ゲーマー向け

  • まずはアップデート:遊んでいるタイトルに更新が来ていれば必ず適用。自動更新ONを推奨。

  • Microsoft Defenderを最新に:Windowsの場合、最新定義で悪用試行をブロック可能。

  • 公式アナウンスを確認:プラットフォーム(Steam/各ストア)やパブリッシャーの告知に従う。まれに更新まで一時アンインストールを勧める案内が出ることがあります。

  • 怪しいリンクや外部ランチャーに注意:カスタムURIや外部ショートカット経由の起動は、公式の導線のみを使うのが安全です。

安全策:開発者向け

  1. 修正済みエディターで再ビルド:公式表に基づき、該当ラインへ更新して全プラットフォームを再ビルド

  2. 差し替えパスも検討:やむを得ない場合はUnityのバイナリパッチツールによるランタイムDLL差し替えで暫定対応。

  3. 外部起動の見直しカスタムURIハンドラー外部ランチャーを実装している場合、危険引数の拒否/サニタイズを追加。

  4. Androidの公開コンポーネントUnityPlayerActivityexported/BROWSABLE設定、unity extraのバリデーション私有領域へのキャッシュ設計(任意バイナリを書き込ませない)を総点検。

  5. パス探索の健全化:ライブラリロード先・検索順、相対パスや書込み可能領域の除外など、アンチDLLプリロードの基本対策を徹底。

  6. 配信と周知:Steamなら通常のビルド更新か部分デポ更新(DLL差し替えのみ)で迅速に配布。ストアのアップデートノートでセキュリティ修正を明記。

何が問題なのか

脆弱なランタイムは、起動時に渡された特定のコマンドライン引数を解釈し、その値をもとに共有ライブラリ(.so や .dll)をロードします。

Android では UnityPlayerActivity が受け取る unity extra(インテント経由の引数)に含まれる xrsdk-pre-init-library の値が内部で dlopen() に渡される実装が確認され、攻撃者がここに細工を施すとアプリの権限で任意コードを実行できてしまいます。Windows、macOS、Linux でも引数処理とライブラリ探索の組み合わせ次第で、意図しない場所からコードを読み込む危険が生じ、カスタム URI ハンドラー経由の起動が絡むと悪用の現実性が高まります。

参照

CVE-2025-59489: Arbitrary Code Execution in Unity Runtime