Unity製ゲームで任意コード実行の脆弱性が発覚。開発者向け対処法と各社の対応状況まとめ

2025年10月3日（金）、Unity Technologiesは、Unity 2017.1以降のバージョンで制作されたアプリケーションにセキュリティ上の重大な脆弱性が存在することを発表しました。

（画像はUnity Discussionsより引用）

発表された脆弱性「CVE-2025-59489」を利用すると、攻撃者はUnity製アプリケーション内で任意のコードを実行できる可能性があります。影響を受けるのは、Android、Windows、macOS、Linux向けにビルドされたアプリケーションです。

なお、発表時点で悪用事例やユーザーへの影響は確認されていません。

脆弱性への対処方法

Unity Technologiesは、この脆弱性に対して以下に記載する2つの修正方法を提供し、開発者へ早急な対応を求めています。

1. パッチ適用済みバージョンのUnityを用いた再ビルド

Unityをパッチが適用された最新のバージョンにアップデートし、アプリケーションを再ビルドすることで、「CVE-2025-59489」に対処できます。

Unity 2019.1以降のすべての影響を受けるバージョンに対して、パッチ適用済みのエディタがリリースされています。

2. 既存のビルドに直接パッチを適用

再ビルドができない場合は、公式が提供するツール「Unity Application Patcher」を使用することで、既存のビルドに直接パッチを適用することが可能です。

対応方法の詳細は、開発者向け修正ガイドをご確認ください。

なお、Web（WebGL）やiOS、コンソール向けビルドは脆弱性の対象外であり、対応は不要です。

Unityより発表されたセキュリティ脆弱性とunityroomについて

先日発表された脆弱性はAndroid、Windows、macOS、Linux向けに作られたビルドが対象ですのでunityroomに投稿されているゲーム（WebGLビルド）については対象外となります。ご安心ください。https://t.co/FKmUSHn9iu

— ないち (@naichilab) October 5, 2025

各社の対応状況

Valveは10月2日、Steamクライアントのアップデートを配信しました。

このアップデートには、「CVE-2025-59489」を利用した攻撃が検出された場合、Steamクライアントを通じたゲーム起動をブロックする機能が含まれています。

また、マイクロソフトが提供するWindows向けセキュリティソフトウェア「Microsoft Defender」にも「CVE-2025-59489」への対策が含まれたアップデートが行われています。

今回の発表を受けて、『VRChat』は公式Xアカウントで対応を報告。『Fate/Grand Order』も修正パッチを適用したアップデートを10月3日に配信しています。

You may have heard that Unity has issued a security advisory for all games built with Unity 2017 or higher.

VRChat is not affected in any practically abusable way per our current analysis, thanks to several protections we have already implemented. Just to be sure, we're… pic.twitter.com/YMS45426ZR

— VRChat (@VRChat) October 3, 2025

また、個人開発者のhinyari9氏は、自身が開発した『溶鉄のマルフーシャ』『救国のスネジンカ』に対してパッチを適用したアップデートを配信しました。

steam版「救国のスネジンカ」「溶鉄のマルフーシャ」Unityセキュリティ脆弱性問題へ対応したアップデートを配信しました。
これからも本シリーズをよろしくお願いいたします。 https://t.co/nlikB1080f

— hinyari9 (@hinyari9) October 5, 2025

「CVE-2025-59489」に関する詳細は、修正ガイドおよび公式ディスカッションをご覧ください。