Unityは、Unity 2017.1 以降でビルドされたゲーム/アプリに影響するランタイムの脆弱性(CVE-2025-59489)を公表しました。引数インジェクションと信頼されていない検索パス(CWE-426)が組み合わさることで、意図しない場所のライブラリを読み込ませ、結果としてローカル権限で任意コード実行や情報窃取が起こり得る問題です。
Unityは2025年10月2日に修正を公開し、該当バージョンでビルドした全アプリの再ビルド+再配信を強く推奨しています。
現時点で悪用の証拠は公表されていません。
影響するプラットフォームと深刻度
影響は
・Android
・Windows
・macOS
・Linux(デスクトップ/組み込み)
に及び、Unity の評価では CVSS 8.4(High)とされています。CNA(MITRE)は 7.4、CISA-ADP は 8.4 と評価は分かれるものの、高リスクである点は一致しています。Microsoft の告知によれば Xbox コンソールと Xbox Cloud Gaming、そして iOS は今回の脆弱性の対象外です。
なおこの脆弱性はGMO Flatt Security のRyotaK 氏よって発見されました。
影響するUnityエディター(ビルド元)と“直し方”
2017.1 以降のエディターでビルドされたアプリは原則として影響を受ける可能性があり、Unity は 2019.1 以降を中心に広範な修正済みラインを公開しています。ただし、エディターを新しくするだけでは完了ではなく、その修正済みエディターで各プラットフォーム向けに再ビルドし、配信し直すことが不可欠です。
積極的に更新が難しいタイトル向けには、Unity が提供するバイナリパッチツールで Unity ランタイムの DLL を差し替える選択肢も用意されています。どのラインで直すべきかは公式の対応表で確認し、プロジェクトに合致するバージョンを選んでください。
安全策:ゲーマー向け
-
まずはアップデート:遊んでいるタイトルに更新が来ていれば必ず適用。自動更新ONを推奨。
-
Microsoft Defenderを最新に:Windowsの場合、最新定義で悪用試行をブロック可能。
-
公式アナウンスを確認:プラットフォーム(Steam/各ストア)やパブリッシャーの告知に従う。まれに更新まで一時アンインストールを勧める案内が出ることがあります。
-
怪しいリンクや外部ランチャーに注意:カスタムURIや外部ショートカット経由の起動は、公式の導線のみを使うのが安全です。
安全策:開発者向け
-
修正済みエディターで再ビルド:公式表に基づき、該当ラインへ更新して全プラットフォームを再ビルド。
-
差し替えパスも検討:やむを得ない場合はUnityのバイナリパッチツールによるランタイムDLL差し替えで暫定対応。
-
外部起動の見直し:カスタムURIハンドラーや外部ランチャーを実装している場合、危険引数の拒否/サニタイズを追加。
-
Androidの公開コンポーネント:
UnityPlayerActivityのexported/BROWSABLE設定、unityextraのバリデーション、私有領域へのキャッシュ設計(任意バイナリを書き込ませない)を総点検。 -
パス探索の健全化:ライブラリロード先・検索順、相対パスや書込み可能領域の除外など、アンチDLLプリロードの基本対策を徹底。
-
配信と周知:Steamなら通常のビルド更新か部分デポ更新(DLL差し替えのみ)で迅速に配布。ストアのアップデートノートでセキュリティ修正を明記。
何が問題なのか
脆弱なランタイムは、起動時に渡された特定のコマンドライン引数を解釈し、その値をもとに共有ライブラリ(.so や .dll)をロードします。
Android では UnityPlayerActivity が受け取る unity extra(インテント経由の引数)に含まれる xrsdk-pre-init-library の値が内部で dlopen() に渡される実装が確認され、攻撃者がここに細工を施すとアプリの権限で任意コードを実行できてしまいます。Windows、macOS、Linux でも引数処理とライブラリ探索の組み合わせ次第で、意図しない場所からコードを読み込む危険が生じ、カスタム URI ハンドラー経由の起動が絡むと悪用の現実性が高まります。
参照








