RPGツクール製ゲームに脆弱性 CVE-2026-56137、配布セーブデータでパソコンを乗っ取られる恐れ

日本生まれの定番ゲーム制作ソフト「RPGツクールMV／MZ」で作られたゲームに、深刻な脆弱性が見つかりました。他人が配布したセーブデータを読み込むと、そのセーブに仕込まれた命令がパソコンの裏側で勝手に動き出し、パソコンを乗っ取られる恐れがあるという欠陥です。共通の脆弱性番号は CVE-2026-56137、深刻度は10点満点中 8.4（CVSS v4.0）。日本の脆弱性情報サイト JVN（JVN#69681784）が2026年6月30日に公開しました。発見・報告したのは GMO Flatt Security の井手脩太氏です。

注意したいのは、これは「ネット越しに勝手に感染する」たぐいの欠陥ではない点です。攻撃が成立するには、利用者が細工されたセーブデータファイルを手元のパソコンで読み込む必要があります。とはいえRPGツクール製のゲームは、クリア済みのデータやセーブを改造するツールを配り合う文化が根づいており、「知らない人のセーブデータをうっかり読み込む」場面は決して珍しくありません。だからこそ自分ごととして知っておきたい話です。開発元の株式会社Gotcha Gotcha Gamesは同日、「出所が不明なゲーム・セーブデータ・素材のお取り扱いについて」という注意喚起を出しています。

※「セーブデータの読み込みで命令が動く」という性質上、危険なのは外部から入手したセーブデータです。自分でプレイして作ったセーブデータには問題ありません。

この脆弱性は誰に、どんな被害をもたらすのか

この穴を悪用するのは、配布用のセーブデータに細工をして、それを他人に読み込ませようとする人です。「このセーブを使えば強い装備が手に入る」「クリア後の隠し要素まで進めてある」といった触れ込みでセーブファイルを配り、欲しがった人にダウンロードさせる、という流れが考えられます。RPGツクール製のゲームでは、攻略の手間を省くためにセーブデータをやり取りすること自体は前からよくあり、その信頼を逆手に取られる形です。

細工されたセーブデータの中身は、見た目はただのゲームの進行状況です。ところがそのデータの中にパソコンへの命令文がこっそり混ぜ込まれており、ゲームがセーブを読み込んだ瞬間に、裏側でその命令が実行されてしまいます。プレイヤーは「セーブを読み込んだだけ」のつもりでも、画面の裏ではまったく別のプログラムが動き出している、という状況です。

被害の中身は深刻です。命令が自由に実行できるということは、実質的にパソコンを乗っ取られたのと同じで、ファイルを盗み出す、別のウイルスを仕込む、データを壊す、といった操作が一通りできてしまいます。狙われるのは主にゲームを遊ぶ側ですが、ゲームを作って配っている側にとっても他人事ではありません。自分の作品が「セーブを読み込んだら危ない」と疑われれば、これまで積み上げてきた信用が一気に崩れるからです。だからこそ、遊ぶ人も作る人も、出所のはっきりしないセーブデータを安易に扱わないことが大事になります。

RPGツクールとは何か、なぜ多くの人に関係するのか

RPGツクール（海外名 RPG Maker）は、プログラミングの知識がなくても自分だけのロールプレイングゲームを作れる、国産の定番ソフトです。今回問題になっている「MV」と「MZ」は、その中でも比較的新しい世代で、作ったゲームをパソコン用としてもスマホ・ブラウザ用としても書き出せるのが特徴です。同人ゲームやフリーゲームの多くがこのシリーズで作られており、ゲーム配信サイトやSteamにも、RPGツクール製の作品が数えきれないほど並んでいます。

つまり「RPGツクールを持っている人」だけの話ではありません。RPGツクールMV／MZで作られたゲームを遊んでいる人すべてが関係する可能性があります。そして、こうしたゲームのファンの間では、難所をクリアした「クリアデータ」を共有したり、専用のセーブエディタ（セーブの中身を書き換える道具）を使ったりする習慣が広く根づいています。便利な文化である一方、今回のように「外から来たセーブデータ」が攻撃の入口になりうるという弱点と、表裏一体でもあります。

セーブデータを読み込むと、なぜ命令が実行されるのか

今回の欠陥は、専門的には「OSコマンドインジェクション」（CWE-78）と呼ばれる種類のものです。OSコマンドとは、パソコンの基本ソフト（WindowsやmacOS）に対する命令のこと。本来データとして扱うべきものの中に命令を紛れ込ませ、プログラムにそれをうっかり実行させてしまう攻撃を、まとめてこう呼びます。

RPGツクールMV／MZで作ったパソコン向けゲームは、内部的にはWebブラウザに近い仕組みの上で動いています。セーブデータはゲームの進行状況を文字情報として書き出したもので、ゲームを再開するときにそれを読み込んで元の状態に戻します。JVNの説明によると、この読み込み処理が、細工された中身を安全に扱えておらず、本来データであるはずの部分に仕込まれた命令が実行されてしまう、という流れです。攻撃を成立させるには利用者がセーブを読み込む操作をする必要があるため、深刻度の評価でも「ネット越しの遠隔攻撃」ではなく「手元のパソコン上での攻撃（攻撃元はローカル）」と分類されています。NVD（米国の脆弱性データベース）でも同じ番号で登録が進められています。

自分は危ないのか、立場ごとの早見表

「自分に関係あるのか」を、立場別に整理しました。多くの人にとって覚えておくべきことは一つだけ、知らない人のセーブデータを読み込まないことです。

※「.rpgsave」はMV、「.rmmzsave」はMZのセーブデータでよく使われる拡張子です。配布物のなかにこうしたファイルが含まれていて、それを読み込ませようとする場合は特に注意してください。

いま何をすべきか

ゲームを遊ぶ人がすべきことは、はっきりしています。自分のプレイで作ったセーブデータだけを使い、他人から渡されたセーブデータは読み込まないことです。配信サイトの掲示板やSNS、ファイル共有で出回っている「便利なセーブ」「クリアデータ」のたぐいは、見た目では安全かどうか判断できません。Gotcha Gotcha Gamesも公式の注意喚起で、ゲーム・セーブデータ・素材はいずれも「信頼できる出所のもののみ」使うよう呼びかけています。

ゲームを作って配っている人は、まず自分がどのバージョンで作品を書き出したかを確認してください。MV v1.6.3以前、MZ v1.10.0以前で書き出したゲームには、この弱点を持つ読み込み処理が含まれます。現時点でこの脆弱性を直す修正版（アップデート）はまだ提供されていません。公式のアップデート情報をこまめに確認し、修正版が出たらソフトを更新したうえでゲームを書き出し直すのが本筋の対応です。それまでの間は、プレイヤーに対して「配布セーブを読み込まないように」と添えておくと親切です。

よくある質問

まとめ

CVE-2026-56137は、RPGツクールMV／MZで作られたゲームが、細工されたセーブデータを読み込んだときに、パソコンへの命令を勝手に実行してしまう脆弱性です。ネット越しに自動で広がるものではありませんが、命令の実行はパソコンの乗っ取りに直結します。クリアデータやセーブの共有が当たり前になっているジャンルだけに、「知らない人のセーブを読み込まない」という一点を、遊ぶ人も作る人も意識しておきたいところです。

修正版はまだ提供されていません。RPGツクール公式のアップデート情報とお知らせを確認し、対策が出たら早めに反映してください。

参照元

• ・JVN#69681784 — RPGツクールMVおよびMZにおけるOSコマンドインジェクションの脆弱性
• ・CVE.org — CVE-2026-56137
• ・NVD — CVE-2026-56137
• ・JVN iPedia — JVNDB-2026-000093
• ・RPGツクール公式 — 出所が不明なゲーム・セーブデータ・素材のお取り扱いについて
• ・GMO Flatt Security（報告者）
• ・MITRE — CWE-78（OSコマンドインジェクション）