「Fate/stay night」「魔法使いの夜」などのセーブデータに脆弱性という情報がJVNに登録される

「TYPE-MOON が提供する複数のゲーム製品には、OS コマンドインジェクションの脆弱性が存在します」ということで、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト「JVN（Japan Vulnerability Notes）」に11月5日付けで登録されました。

JVN#80144272: TYPE-MOON 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
http://jvn.jp/jp/JVN80144272/

この情報はもともとは2015年9月2日に公式サイトで以下のように公開されていた情報と基本的には同じ内容となっています。

弊社ゲームタイトルのセーブデータに関連する脆弱性につきまして
http://www.typemoon.com/support/vulnerability150902.html

対象となるゲームは以下の4タイトルとなっています。

・Fate/stay night(CD版、DVD版)

・Fate/hollow ataraxia

・魔法使いの夜

・Fate/stay night + hollow ataraxia (セット版)

上記4つのゲームタイトルではセーブデータの改変が禁じられておらず、流用可能であるため、セーブデータと共に隠ぺいされた実行ファイルをコピーしてしまった場合、セーブデータの読み込みによってこの実行ファイルが実行される可能性がある、というわけです。

そのため、回避方法としては「信頼のおけない提供元から提供されたセーブデータを読み込まない」「他者のセーブデータを流用しないようにしてください」となっており、この脆弱性を修正するパッチの提供については「本件問題は新たなパッチで解決することが困難であり、またユーザーが自らの意志でセーブデータを流用するか、弊社ゲームタイトルに因らない脆弱性を利用してセーブデータを改変しない限り発生しないため、パッチの提供は行いません」としています。

なお、「信頼できるセーブデータの提供先、このセーブデータが信用できるか等については、お問い合わせいただいても回答いたしかねますので予めご承知おきください」とのことです。