HOME情報セキュリティICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

本文を印刷する

情報セキュリティ

ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

最終更新日:2020年1月27日

 このページでは、米国土安全保障省(DHS)Cybersecurity and Infrastructure Agency(CISA)の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っている ICS-CERT が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(*1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

 ICS-CERTが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開しています。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのICS-CERT公開脆弱性情報の検索方法については、こちら を参照ください)。



 なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

2020年1月23日公開

---------------------------------------------------------------------------------------------
[メディカルアドバイザリ]
GE 社の 生体情報モニタ製品 CARESCAPE、ApexPro、および
Clinical Information Center system に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダにて対応中
【脆弱性番号】CVE-2020-6961(平文でのパスワードの保存)
       CVE-2020-6962(不適切な入力確認)
       CVE-2020-6963(ハードコードされた認証情報の使用)
       CVE-2020-6964(重要な機能に対する認証の欠如)
       CVE-2020-6965(危険なタイプのファイルの無制限アップロード)
       CVE-2020-6966(不適切な暗号強度)
【参   照】https://www.us-cert.gov/ics/advisories/icsma-20-023-01

2020年1月21日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Honeywell 社の ビデオ管理システム Maxpro VMS & NVR に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2020-6959(信頼性のないデータのデシリアライゼーション)
       CVE-2020-6960(SQLインジェクション)
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-021-01

2020年1月16日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Schneider Electric 社の IIoT用工業エッジ制御製品 Modicon
に例外的な状態のチェックに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ファームウェアアップデート)
【脆弱性番号】CVE-2019-6857
       CVE-2019-6856
       CVE-2018-7794
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-016-01

2020年1月14日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
GE 社の PAC Systems RX3i に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2019-13524
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-014-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINEMA Server に権限管理に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-10940
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-014-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 産業用イーサネットスイッチ SCALANCE X
に重要な機能に対する認証の欠如に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレードおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-13933
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-014-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の セルベース高圧インバータ SINAMICS PERFECT HARMONY GH180
に保護メカニズムの不具合に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】カスタマーサポートへ連絡し、設定変更に関する情報を入手
【脆弱性番号】CVE-2019-19278
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-014-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の TIA ポータル にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-10934
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-014-05

---------------------------------------------------------------------------------------------
[アドバイザリ]
OSIsoft 社の PI Vision に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.1(AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレードおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-18275(不適切なアクセス制御)
       CVE-2019-18271(クロスサイトリクエストフォージェリ)
       CVE-2019-18273(クロスサイトスクリプティング)
       CVE-2019-18244(ログファイルからの情報漏えい)
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-014-06

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE X
に予期せぬ動作に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/3/26 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品、対策:情報更新(SCALANCE X-200)

【深 刻 度】基本値 5.4(AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-6569
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-19-085-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の EN100 イーサネットモジュール に複数の脆弱性
---------------------------------------------------------------------------------------------
※2019/12/10 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品、対策:情報更新
              (SIPROTEC 4, SIPROTEC Compact, Reyrolle, SWT3000)

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】一部製品については有り(アップデート)
       他製品についてはワークアラウンド(回避策)
【脆弱性番号】CVE-2019-13942(バッファエラー)
       CVE-2019-13943(クロスサイトスクリプティング)
       CVE-2019-13944(相対パストラバーサル)
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-344-07

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 複数のIRT通信機器に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/10/10 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品、対策:情報更新

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2019-10923
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-283-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 複数のPROFINET機器にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/10/10 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品、対策:情報更新

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-10936
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-283-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SIMATIC WinAC RTX (F) 2010 にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/10/8 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品、対策:情報更新(アップデート)

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-13921
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-281-03

--------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の CP、SIAMTIC、SIMOCODE、SINAMICS、SITOP および TIM 製品
における境界外読み取りに関する脆弱性
--------------------------------------------------------------------------------------------
※2019/4/9 ICS-CERT 公開分の更新(Update E)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】一部製品については有り(ファームウェアアップデート)
       他製品についてはワークアラウンド(回避策)およびリスク緩和策
【脆弱性番号】CVE-2019-6568
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-19-099-06

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE X、RUGGEDCOM WiMAX、RFID 181-EIP および
SIMATIC RF182C に認可・権限・アクセス制御に関する脆弱性
---------------------------------------------------------------------------------------------
※2018/6/14 ICS-CERT 公開分の更新(Update C)
 <更新内容>
  ・影響を受ける製品、対策:情報更新(RUGGEDCOM Win、SCALANCE X-200RNA)

【深 刻 度】基本値 7.5(AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】一部製品については有り(アップデート)
       他製品についてはワークアラウンド(回避策)およびリスク緩和策
【脆弱性番号】CVE-2018-4833
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-165-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE X 産業用イーサネットスイッチに
クロスサイトスクリプティングの脆弱性
---------------------------------------------------------------------------------------------
※2018/6/12 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品、対策:情報更新(SCALANCE X-200/X-300/X-408)

【深 刻 度】基本値 5.8(AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】一部製品については有り(アップデート)
       他製品についてはワークアラウンド(回避策)およびリスク緩和策
【脆弱性番号】CVE-2018-4842
       CVE-2018-4848
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-163-02

2020年1月7日公開

---------------------------------------------------------------------------------------------
[メディカルアドバイザリ]◆更新◆
リアルタイムOS OSE/INTEGRITY RTOS/ITRON/Zebos/VxWorks の Interpeak
IPnet TCP/IP Stack に複数の脆弱性
---------------------------------------------------------------------------------------------
※2019/10/1 ICS-CERT 公開分の更新(Update D)
 <更新内容>
  ・対策:セキュリティアドバイザリを公開したベンダ1社(Boston Scientific)追加

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】有り
【対   策】一部OSには有り(アップグレードもしくはWindRiver 社へ連絡)
【脆弱性番号】CVE-2019-12256(スタックベースのバッファオーバーフロー)
       CVE-2019-12257(ヒープベースのバッファオーバーフロー)
       CVE-2019-12255(整数アンダーフロー)
       CVE-2019-12260(バッファエラー)
       CVE-2019-12261(バッファエラー)
       CVE-2019-12263(競合状態)
       CVE-2019-12258(引数の挿入または変更)
       CVE-2019-12259(NULLポインタデリファレンス)
       CVE-2019-12262(引数の挿入または変更)
       CVE-2019-12264(引数の挿入または変更)
       CVE-2019-12265(引数の挿入または変更)
【参   照】https://www.us-cert.gov/ics/advisories/icsma-19-274-01

2019年12月19日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Moxa 社の EDS イーサネットスイッチ にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(パッチ)
【脆弱性番号】CVE-2019-19707
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-353-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Equinox 社の Control Expert に SQL インジェクションの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】無し
【脆弱性番号】CVE-2019-18234
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-353-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
WECON 社の PLC エディタ にスタックベースのバッファオーバーフローの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.2(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダにて対応中
【脆弱性番号】CVE-2019-18236
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-353-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Reliable Controls 社の MACH-ProWebCom/Sys
にクロスサイトスクリプティングの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-18249
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-353-04

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
オムロン の CX-Supervisor に使われなくなった機能の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/11/14 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・脆弱性に関する情報追加

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-18251
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-318-04

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
AVEVA 社の Vijeo Citect および Citect SCADA
にスタックベースのバッファオーバーフローの脆弱性
---------------------------------------------------------------------------------------------
※2019/10/17 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品、対策:情報更新
   (Schneider Electric’s Power SCADA Operation)

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2019-13537
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-290-01

---------------------------------------------------------------------------------------------
[メディカルアドバイザリ]
Philips 社の Veradius Unity、Pulsera および Endura Dual WAN Routers
に暗号強度に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 5.3(AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-18263
【参   照】https://www.us-cert.gov/ics/advisories/icsma-19-353-01

脚注

 (*1)
 本ページに掲載しているのは、ICS-CERTが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。
 Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

ICS-CERT公開脆弱性情報のJVN iPediaでの検索

ICS-CERT公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

特定のベンダ、または製品の脆弱性情報を検索したい場合

「ベンダ名」「製品」を指定 → 「検索」

ICS-CERT公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合

  • 医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 → 「検索」
    (検索例:2017年のICSMAアドバイザリ
  • その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 → 「検索」
    (検索例:2017年のICSAアドバイザリ
  • 注意喚起:「キーワード」に「ICS-ALERT」と入力 → 「検索」
    (検索例:過去のICS Alert

キーワードで検索したい場合

「キーワード」にキーワードを入力 → 「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、こちら を参照ください。

本ページに関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC)
E-mail:

※ICS-CERTが公開した脆弱性情報の内容に関しては、ICS-CERT、またはベンダにお問い合わせください。