Project Zomboid、Workshopのzero day exploitに対応

Project Zomboidの開発チームThe Indie StoneはSteam告知で、2026年4月7日に複数のユーザーから、あるmodが実行時に悪意あるコードを生成しているという報告を受けたと説明した。調査の結果、そのmodはProject Zomboidのディレクトリ外に悪性ファイルを作成していることが確認されたという。

その後の調査で被害範囲も広がった。開発側によると、同じユーザーが同一のexploitを含むmodを14本アップロードしており、各modの導入規模はおよそ500台から2200台のデバイスに及んでいた。該当アカウントはすでにBANされ、影響を受けたmodもSteam Workshopから削除されたが、開発チームはアンインストールだけでは不十分と強く警告している。ゲームフォルダ外にファイルを書き込めた可能性があるため、導入していたプレイヤーには追加のセキュリティ対策が求められている。

告知はブランチごとの影響も切り分けている。今回のexploitが影響したのはBuild 42系統のみで、Build 41はこの特定の問題には脆弱ではなかったという。一方でBuild 41には、内部監査で見つかった別件の脆弱性に対応するセキュリティ更新が同日に配信された。The Indie Stoneは、その別件については悪用の証拠を確認していないとしている。また、既知の穴を古いブランチに残さないため、outdatedunstableブランチもunstableに合わせた。

もうひとつ重要なのはコミュニティ向けの訂正だ。影響を受けた14本はTrue MoooZIC本体ではなく、そのadd-on群であり、元の作者の同意なく作成されたものだった。exploitの話題はすぐに周辺プロジェクト全体への不信感につながりやすいため、何が本体で何が派生物かを明確にした点は大きい。

今回の件は、mod文化が豊かなPCゲームほど信頼の管理が重要になることを改めて示している。Project Zomboidの発表で目立つのは、問題の確認、削除、影響範囲の説明、誤解の訂正までを一つの更新でまとめたところだ。これは単なるpatch noteではなく、Workshopの悪用にどう対応するかを示すincident responseの公開記録でもある。