30秒で判断
対応すべき人:
- RPGツクール MV または MZ でゲームを開発・配布している方
- RPGツクール MV/MZ 製のゲームをプレイヤーとしてプレイしている方(セーブデータ共有がある場合)
対応不要な人:
- RPGツクール MV/MZ を使用していない
- 開発者から提供される修正版のゲームを使用している
確認方法: 使用している RPGツクール MV/MZ のバージョンを確認し、JVN 公開情報と照合してください。
概要
Gotcha Gotcha Games株式会社が提供するゲーム制作ソフト RPGツクール MV および RPGツクール MZ のセーブデータ読み込み処理に OS コマンドインジェクション脆弱性が確認されました(CVE-2026-56137、CVSS 7.8)。
セーブデータの読み込み処理において、細工されたセーブデータの内容を適切に処理できず、悪意のある内容が含まれる場合に OS コマンドとして実行されてしまう問題です(CWE-78)。
攻撃シナリオとしては、悪意のある第三者が細工したセーブデータを配布し、ユーザーがそれを読み込むことで攻撃が成立します。セーブデータの共有・配布がある RPG コミュニティ等では注意が必要です。
本脆弱性は情報セキュリティ早期警戒パートナーシップに基づき GMO Flatt Security株式会社の井手 脩太氏が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
CVSSベクトル
| 属性 | 値 |
|---|---|
| Attack Vector | Local |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | Required(ユーザー操作要:セーブデータを読み込む操作) |
| Scope | Unchanged |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
影響を受けるソフトウェア
| 製品 | 備考 |
|---|---|
| RPGツクール MV | Gotcha Gotcha Games製。対象バージョンはJVN参照 |
| RPGツクール MZ | Gotcha Gotcha Games製。対象バージョンはJVN参照 |
修正バージョンと回避策
開発元(Gotcha Gotcha Games株式会社)から修正版が提供されています。JVN詳細ページを参照し、最新バージョンへアップデートしてください。
回避策:
- 出所不明のセーブデータを読み込まない
- 信頼できないソースから取得したセーブデータの使用を避ける
関連リンク
データソース: JVN iPedia (IPA/JPCERT/CC), NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
