HOME情報セキュリティCISAが公開した制御システムの脆弱性情報(直近の1ヶ月)

本文を印刷する

情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近の1ヶ月)

最終更新日:2023年3月27日

 このページでは、米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が制御システム向け勧告(ICS advisory)として直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

 [2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

 CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開しています。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

ICS-CERTが公開した脆弱性のIPAでの公開


 なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

2023年3月23日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
RoboDK 社の ロボットシミュレーションソフトウェア RoboDK
に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.9(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダに連絡
【脆弱性番号】CVE-2023-1516
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
CP Plus 社の KVMS Pro に認証情報の不十分な保護に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダに連絡
【脆弱性番号】CVE-2023-1518
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
SAUTER 社の EY-modulo 5 Building Automation Stations に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2023-28650(クロスサイトスクリプティング)
       CVE-2023-28655(クロスサイトスクリプティング)
       CVE-2023-22300(クロスサイトスクリプティング)
       CVE-2023-27927(平文での重要情報の通信)
       CVE-2023-28652(危険なタイプのファイルの無制限アップロード)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Schneider Electric 社の Interactive Graphical SCADA System (IGSS) に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2023-27980(重要な機能に対する認証の欠如)
       CVE-2023-27982(データの信頼性についての不十分な検証)
       CVE-2023-27978(信頼性のないデータのデシリアライゼーション)
       CVE-2023-27981(パス・トラバーサル)
       CVE-2023-27984(不適切な入力確認)
       CVE-2023-27977(データの信頼性についての不十分な検証)
       CVE-2023-27979(データの信頼性についての不十分な検証)
       CVE-2023-27983(重要な機能に対する認証の欠如)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
ABB 社の Pulsar Plus Controller に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.3(AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策))
【脆弱性番号】CVE-2022-1607(クロスサイトリクエストフォージェリ)
       CVE-2022-26080(不十分なランダム値の使用)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-05

---------------------------------------------------------------------------------------------
[アドバイザリ]
ProPump and Controls 社の Osprey Pump Controller に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダに連絡
【脆弱性番号】CVE-2023-28395(エントロピー不足)
       CVE-2023-28375(GET リクエストにおけるクエリ文字列からの情報漏えい)
       CVE-2023-28654(ハードコードされたパスワードの使用)
       CVE-2023-27886(OSコマンドインジェクション)
       CVE-2023-27394(OSコマンドインジェクション)
       CVE-2023-28648(クロスサイトスクリプティング)
       CVE-2023-28398(代替パスまたはチャネルを使用した認証回避)
       CVE-2023-28718(クロスサイトリクエストフォージェリ)
       CVE-2023-28712(コマンドインジェクション)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-082-06

2023年3月21日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Keysight Technologies 社の N6854A Geolocation Sever
に信頼性のないデータのデシリアライゼーションに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2023-1399
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Delta Electronics 社の InfraSuite Device Master に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2023-1133(信頼性のないデータのデシリアライゼーション)
       CVE-2023-1139(信頼性のないデータのデシリアライゼーション)
       CVE-2023-1145(信頼性のないデータのデシリアライゼーション)
       CVE-2023-1138(不適切なアクセス制御)
       CVE-2023-1144(不適切なアクセス制御)
       CVE-2023-1137(不適切なアクセス制御)
       CVE-2023-1143(危険なメソッドや機能の公開)
       CVE-2023-1134(パス・トラバーサル)
       CVE-2023-1142(パス・トラバーサル)
       CVE-2023-1136(不適切な認証)
       CVE-2023-1141(コマンドインジェクション)
       CVE-2023-1135(重要なリソースに対する不適切なアクセス権の付与)
       CVE-2023-1140(重要な機能に対する認証の欠如)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の RUGGEDCOM APE1808 製品ファミリ
にTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2022-32469、CVE-2022-32470、CVE-2022-32471、
       CVE-2022-32475、CVE-2022-32477、CVE-2022-32953、
       CVE-2022-32954
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 保護継電器 SIPROTEC 5 の RADIUS クライアント
に無限ループに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-38767
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
VISAM 社の VBASE に XML 外部エンティティの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-41696、CVE-2022-43512、CVE-2022-45121、
       CVE-2022-45468、CVE-2022-45876、CVE-2022-46286、
       CVE-2022-46300
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-05

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の ThinManager ThinServer に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2023-28755(パス・トラバーサル)
       CVE-2023-28756(パス・トラバーサル)
       CVE-2023-28757(ヒープベースのバッファオーバーフロー)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-06

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SCALANCE W-700 で使用されているサードパーティ製コンポーネント
に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2018-12886(エラーメッセージからの情報漏えい)
       CVE-2018-25032(不適切な無害化)
       CVE-2021-42373(NULLポインタデリファレンス)
       CVE-2021-42374(境界外読み取り)
       CVE-2021-42375(不適切な入力確認)
       CVE-2021-42376(NULLポインタデリファレンス)
       CVE-2021-42377(無効なポインタや参照の解放)
       CVE-2021-42378(解放済みメモリの使用)
       CVE-2021-42379(解放済みメモリの使用)
       CVE-2021-42380(解放済みメモリの使用)
       CVE-2021-42381(解放済みメモリの使用)
       CVE-2021-42382(解放済みメモリの使用)
       CVE-2021-42383(解放済みメモリの使用)
       CVE-2021-42384(解放済みメモリの使用)
       CVE-2021-42385(解放済みメモリの使用)
       CVE-2021-42386(解放済みメモリの使用)
       CVE-2022-23395(プロトタイプの汚染)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-07

2023年3月16日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 産業用イーサネットスイッチ SCALANCE および RUGGEDCOM
に影響を及ぼす Busybox アプレット に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2018-25032(境界外書き込み)
       CVE-2019-1125 (情報漏えい)
       CVE-2021-4034 (境界外書き込み)
       CVE-2021-4149 (不適切なロック)
       CVE-2021-26401(不適切な入力確認)
       CVE-2021-42373(NULLポインタデリファレンス)
       CVE-2021-42374(境界外読み取り)
       CVE-2021-42375(不適切な入力確認)
       CVE-2021-42376(NULLポインタデリファレンス)
       CVE-2021-42377(無効なポインタや参照の解放)
       CVE-2021-42378(解放済みメモリの使用)
       CVE-2021-42379(解放済みメモリの使用)
       CVE-2021-42380(解放済みメモリの使用)
       CVE-2021-42381(解放済みメモリの使用)
       CVE-2021-42382(解放済みメモリの使用)
       CVE-2021-42383(解放済みメモリの使用)
       CVE-2021-42384(解放済みメモリの使用)
       CVE-2021-42385(解放済みメモリの使用)
       CVE-2021-42386(解放済みメモリの使用)
       CVE-2022-0001 (不適切な入力確認)
       CVE-2022-0002 (不適切な入力確認)
       CVE-2022-0494 (情報漏えい)
       CVE-2022-0547 (不適切な認証)
       CVE-2022-1011 (解放済みメモリの使用)
       CVE-2022-1016 (解放済みメモリの使用)
       CVE-2022-1198 (解放済みメモリの使用)
       CVE-2022-1199 (解放済みメモリの使用)
       CVE-2022-1292(OSコマンドインジェクション)
       CVE-2022-1304(境界外書き込み)
       CVE-2022-1343(不正な証明書検証)
       CVE-2022-1353(情報漏えい)
       CVE-2022-1473 (リソースの不適切なシャットダウンおよびリリース)
       CVE-2022-1516 (解放済みメモリの使用)
       CVE-2022-1652(解放済みメモリの使用)
       CVE-2022-1729(競合状態)
       CVE-2022-1734(解放済みメモリの使用)
       CVE-2022-1974(解放済みメモリの使用)
       CVE-2022-1975(例外がキャッチされない問題)
       CVE-2022-2380(境界外書き込み)
       CVE-2022-2588(不適切な入力確認)
       CVE-2022-2639(整数アンダーフロー)
       CVE-2022-20158(解放済みメモリの使用)
       CVE-2022-23036(競合状態)
       CVE-2022-23037(競合状態)
       CVE-2022-23038(競合状態)
       CVE-2022-23039(競合状態)
       CVE-2022-23040(競合状態)
       CVE-2022-23041(競合状態)
       CVE-2022-23042(競合状態)
       CVE-2022-23308(解放済みメモリの使用)
       CVE-2022-26490(古典的バッファオーバーフロー)
       CVE-2022-28356(不適切な入力確認)
       CVE-2022-28390(二重解放)
       CVE-2022-30065(解放済みメモリの使用)
       CVE-2022-30594(不正な認証)
       CVE-2022-32205(制限やスロットリングのないリソースの割り当て)
       CVE-2022-32206(制限やスロットリングのないリソースの割り当て)
       CVE-2022-32207(不適切なデフォルトパーミッション)
       CVE-2022-32208(境界外書き込み)
       CVE-2022-32296(観測可能な不一致)
       CVE-2022-32981(古典的バッファオーバーフロー)
       CVE-2022-33981(解放済みメモリの使用)
       CVE-2022-35252(入力の構文的正当性の不適切な検証)
       CVE-2022-36879(不適切な入力確認)
       CVE-2022-36946(不適切な入力確認)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の RUGGEDCOM CROSSBOW に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2023-27462(認可の欠如)
       CVE-2023-27463(SQLインジェクション)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の RUGGEDCOM CROSSBOW に認証の欠如に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.6(AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2023-27309、CVE-2023-27310
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SCALANCE W1750D に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-4304(不適切な暗号強度)
       CVE-2022-4450(二重解放)
       CVE-2023-0215(解放済みメモリの使用)
       CVE-2023-0286(不適切な入力確認)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Mendix SAML モジュール に認証アルゴリズムの不適切な実装に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2023-25957
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-05

---------------------------------------------------------------------------------------------
[アドバイザリ]
Honeywell 社の OneWireless Wireless Device Manager (WDM) に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2022-46361(コマンドインジェクション)
       CVE-2022-43485(不十分なランダム値の使用)
       CVE-2022-4240 (重要な機能に対する認証の欠如)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-06

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社のModbus TCP Server Add-On Instruction (AOI)
に情報漏えいに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2023-0027
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-075-07

2023年3月14日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
オムロン の PLC CJ1M に アクセス制御に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2023-0811
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Autodesk 社の FBX SDK に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-41302(境界外読み取り)
       CVE-2022-41303(解放済みメモリの使用)
       CVE-2022-41304(境界外書き込み)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
GE Digital 社の HMI/SCADAソフトウェア iFIX にコードインジェクションの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2023-0598
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
AVEVA 社の AVEVA Plant SCADA および AVEVA Telemetry Server
に認可に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2023-1256
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-073-04

2023年3月9日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Akuvox 社の 小型ドアホン E11 に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダに連絡
【脆弱性番号】CVE-2023-0343(CBC モードにおけるランダムな初期化ベクトルの不使用)
       CVE-2023-0355(ハードコードされた暗号鍵の使用)
       CVE-2023-0354(重要な機能に対する認証の欠如)
       CVE-2023-0353(復元可能な形式でのパスワード保存)
       CVE-2023-0352(パスワードを忘れた場合の脆弱なパスワードリカバリの仕組み)
       CVE-2023-0351(コード・インジェクション)
       CVE-2023-0350(外部提供ファイルのファイル名または拡張子への依存)
       CVE-2023-0349(認可の欠如)
       CVE-2023-0348(不適切なアクセス制御)
       CVE-2023-0347(情報漏えい)
       CVE-2023-0346(不適切な認証)
       CVE-2023-0345(ハードコードされた認証情報の使用)
       CVE-2023-0344(非公開の機能)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
B&R Industrial Automation 社の Systems Diagnostics Manager (SDM)
にクロスサイトスクリプティングの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3
【攻撃コード】有り
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-4286
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
ABB 社の Ability Symphony Plus に認証に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2023-0228
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Step Tools 社の ifcmesh library に NULL ポインタデリファレンスに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 2.2(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2023-0973
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
日立エナジー の Relion 670/650 および SAM600-IO シリーズ
にデータの信頼性についての不十分な検証に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 4.5(AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2022-3864
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-068-05

2023年3月2日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の MELSEC iQ-F シリーズ に認証情報の平文保存に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2023-0457
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-061-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Baicells 社の Nova にコマンドインジェクションの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ファームウェア・アップグレード)
【脆弱性番号】CVE-2023-0776
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-061-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rittal 社の 監視システム CMC III にアクセス制御に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 4.8(AV:P/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】販売・サポート終了のため無し。
       二段階認証プロセスのためにPINパッドを追加することを推奨。
【脆弱性番号】CVE-2022-40633
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-061-03

2023年2月28日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
日立エナジー の Gateway Station (GWS) 製品に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2020-25692(NULLポインタデリファレンス)
       CVE-2022-0778 (無限ループ)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-059-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
日立エナジー の Gateway Station (GWS) 製品に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2022-2277(不適切な入力確認)
       CVE-2022-29492(不適切な入力確認)
       CVE-2022-29922(不適切な入力確認)
       CVE-2022-1778(古典的バッファオーバーフロー)
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-23-059-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の MELSEC iQ-F シリーズ に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------
※2022/5/19 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-25161、CVE-2022-25162
【参   照】https://www.cisa.gov/news-events/ics-advisories/icsa-22-139-01-0

脚注

 (脚注1)
 本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。
 Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

特定のベンダ、または製品の脆弱性情報を検索したい場合

「ベンダ名」「製品」を指定 → 「検索」

CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合

  • 医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 → 「検索」
    (検索例:2017年のICSMAアドバイザリ
  • その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 → 「検索」
    (検索例:2017年のICSAアドバイザリ
  • 注意喚起:「キーワード」に「ICS-ALERT」と入力 → 「検索」
    (検索例:過去のICS Alert

キーワードで検索したい場合

「キーワード」にキーワードを入力 → 「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

本ページに関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC)
E-mail:

※CISAが公開した脆弱性情報の内容に関しては、CISA、またはベンダにお問い合わせください。