人気ゲーム制作ツールである「RPGツクールMZ」および前世代機の「RPGツクールMV」において、ユーザーのPC上で任意のOSコマンドが実行可能になるという深刻な脆弱性が報告された。ゲーム制作の民主化を推し進め、数々の名作インディーゲームを生み出してきたプラットフォームだけに、今回の脆弱性報告はプレイヤーおよび制作者コミュニティの双方に大きな衝撃を与えている。
| 対象ツール | RPGツクールMV / RPGツクールMZ |
| 脆弱性識別番号 | JVN#69681784 |
| 影響受けるバージョン | MV: 1.6.3以下 / MZ: 1.10.0以下 |
| 脆弱性の種類 | OSコマンドインジェクション |
| 公式推奨の回避策 | 信頼できないセーブデータ・素材・ゲームの読み込み回避 |
セーブデータ読み込みに潜む罠と脆弱性のメカニズム
情報処理推進機構(IPA)およびJPCERT/CCが運営する脆弱性対策情報ポータルサイトJVNが公開した情報によると、今回の脆弱性はセーブデータ機能に起因するものだ。ゲームプレイ中にセーブデータを読み込む際、細工された不正なデータを適切に処理できず、悪意あるOSコマンドが実行されてしまう危険性がある。この「OSコマンドインジェクション」と呼ばれる脆弱性は、最悪の場合、ユーザーのシステム全体が乗っ取られる、あるいは機密データが外部に流出する二次被害へとつながる可能性がある。
現在、開発元であるGotcha Gotcha Gamesからは本脆弱性を根本的に修正するアップデートパッチは配信されておらず、現状ではユーザー側の防衛策(ワークアラウンド)に頼るほかない状況だ。最新バージョンを含むほぼすべての過去バージョンが影響を受けるため、プレイヤーは自衛の意識をこれまで以上に高める必要があるだろう。
コミュニティ文化を揺るがすデータ共有のリスク
RPGツクールMZの最大の強みは、活発なユーザーコミュニティによるプラグインや素材の共有、そしてプレイヤー間でのセーブデータの受け渡しといった高い自由度にある。バグ検証や攻略の共有目的で、SNSや掲示板、ファイル共有サービスを介してセーブデータがやり取りされることは日常茶飯事であった。しかし、今回の脆弱性により、それらの配布データに悪意あるコードが仕込まれるリスクが現実のものとなった。
公式は「出所が不明、あるいは信頼できないゲームや素材、セーブデータ」を絶対に読み込まないよう強く注意を促している。特にセーブデータに関しては、第三者から提供されたものは使用せず、自らのプレイ環境で作成したデータのみを使用することが推奨される。開発元はコミュニティでの素材配布そのものを否定してはいないが、しばらくの間はデータの入手元を厳密に吟味する「デジタルな警戒心」が求められる。
今後のアップデートとインディーゲームシーンへの影響
今回の脆弱性は、単にツールとしてのRPGツクールMZの評価に留まらず、同ツールを用いて制作され配布されている数万本規模のインディーゲームの安全性にも影を落としている。制作者側としては、自作ゲームが安全であることを証明する手段が必要となり、プレイヤー側も個人開発のフリーゲームをダウンロードする心理的ハードルが上がることが懸念される。現在開発中と報じられている最新作『RPGツクールU2U』への期待が高まる一方で、現行ツールのセキュリティ基盤の再構築は急務と言える。
RPGツクールMZの信頼性を揺るがすセキュリティ問題と自衛の必要性
今回の脆弱性は、ユーザー生成コンテンツ(UGC)に依存するゲームエコシステムの脆弱な部分を直撃した。パッチが適用されるまでは、見知らぬアップローダーからダウンロードしたセーブデータや、安全性の確認できない海外製プラグインの導入は一時的に凍結すべきだろう。利便性とセキュリティはトレードオフの関係にあるが、PC環境の安全を守るためには、公式によるパッチ配布を待ちつつ、徹底したソース確認を怠らない知性が必要だ。
最終コンパス指数: 4.5 / 10