HOME情報セキュリティICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

本文を印刷する

情報セキュリティ

ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

最終更新日:2018年7月17日

 このページでは、米国の ICS-CERT が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(*1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

 ICS-CERTが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開しています。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのICS-CERT公開脆弱性情報の検索方法については、こちら を参照ください)。



 なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

2018年7月12日公開

--------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Medtronic 社の N'Vision Clinician Programmer に複数の脆弱性
--------------------------------------------------------------------------------------------
※2016/12/13 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・脆弱性追加(CVE-2018-10631)

【深 刻 度】基本値 6.3(AV:P/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】アップデートなし。リスク緩和策
【脆弱性番号】CVE-2018-8849(重要データの非暗号化)
       CVE-2018-10631(保護メカニズムの不具合)
【参   照】https://ics-cert.us-cert.gov/advisories/ICSMA-18-137-01

--------------------------------------------------------------------------------------------
[アドバイザリ]
Eaton 社の 9000X ドライブにスタックベースのバッファオーバーフローの脆弱性
--------------------------------------------------------------------------------------------

【深 刻 度】基本値 5.6(AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2018-8847
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-193-01

2018年7月10日公開

---------------------------------------------------------------------------------------------
[アラート]◆更新◆
CPU の脆弱性「Meltdown」と「Spectre」
---------------------------------------------------------------------------------------------
※2018/1/11 ICS-CERT 公開分の更新(Update H)
 <更新内容>
  ・影響を受ける製品/対策:ベンダ情報追加
              (Pepperl+Fuchs(ecom instruments 製品))

【深 刻 度】-
【攻撃コード】-
【対   策】以下のベンダでは、自社製品への影響/対策に関して情報提供有り
  - ABB
  - Abbott
  - Beckman Coulter
  - Becton, Dickinson and Company (BD)
  - Drager
  - Emerson
  - General Electric
  - Honeywell
  - Johnson and Johnson
  - Medtronic
  - OSIsoft
  - Pepperl+Fuchs
  - Pepperl+Fuchs (ecom mobile devices)【追加】
  - Phillips
  - Phoenix Contact
  - Rockwell Automation
  - Schneider Electric
  - Siemens
  - Smith Medical
  - Stryker
  - Yokogawa Electric Corporation
【脆弱性番号】CVE-2017-5753
       CVE-2017-5715
       CVE-2017-5754
【参   照】https://ics-cert.us-cert.gov/alerts/ICS-ALERT-18-011-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Schweitzer Engineering Laboratories(SEL)社の Compass および
AcSELerator Architect に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.2(AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】有り
【対   策】有り(アップデート)
【脆弱性番号】CVE-2018-10604(不適切なデフォルトパーミッション)
       CVE-2018-10600(XML外部エンティティ参照の不適切な制限)
       CVE-2018-10608(リソースの枯渇)
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-191-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Universal Robots 社の ロボットコントローラに複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】-
【対   策】リスク緩和策
【脆弱性番号】CVE-2018-10633(ハードコードされた認証情報の使用)
       CVE-2018-10635(重要機能に対する認証の欠如)
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-191-01

2018年7月3日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の Allen-Bradley Stratix 5950 セキュリティアプライアンス
に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】アップデート準備中。それまではリスク緩和策
【脆弱性番号】CVE-2018-0228(不適切な入力確認)
       CVE-2018-0227(不正な証明書検証)
       CVE-2018-0231(不適切な入力確認)
       CVE-2018-0240(リソース管理の問題)
       CVE-2018-0296(不適切な入力確認)
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-184-01

2018年6月28日公開

--------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Medtronic 社の 2090 Carelink Programmer に複数の脆弱性
--------------------------------------------------------------------------------------------
※2018/2/27 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・脆弱性:追加(CVE-2018-10596)
  ・対策:情報追加

【深 刻 度】基本値 7.1(AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】リスク緩和策
【脆弱性番号】CVE-2018-5446(復元可能な形式でのパスワード保存)
       CVE-2018-5448(相対パストラバーサル)
       CVE-2018-10596(意図するエンドポイントとの通信チャネルの
                不適切な制限)
【参   照】https://ics-cert.us-cert.gov/advisories/ICSMA-18-058-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Medtronic 社の MyCareLink Patient Monitor に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.4(AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】あり(無線(OTA)にて自動アップデート予定)
【脆弱性番号】CVE-2018-8870(ハードコードされたパスワードの使用)
       CVE-2018-8868(危険なメソッドや機能の公開)
【参   照】https://ics-cert.us-cert.gov/advisories/ICSMA-18-179-01

2018年6月21日公開

--------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の PROFINET Discovery and Configuration Protocol 使用製品に
入力確認に関する脆弱性
--------------------------------------------------------------------------------------------
※2017/5/9 ICS-CERT 公開分の更新(Update J)
 <更新内容>
  ・影響を受ける製品、対策:情報更新(SIMATIC PCS 7)

【深 刻 度】基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】一部製品については有り(アップデート)
       他製品についてはリスク緩和策
【脆弱性番号】CVE-2017-6865
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-17-129-01

--------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の Allen-Bradley CompactLogix および Compact GuardLogix
に入力確認に関する脆弱性
--------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2017-9312
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-172-02

--------------------------------------------------------------------------------------------
[アドバイザリ]
Delta Electronics 社の Delta Industrial Automation COMMGR に
スタックベースのバッファオーバーフローの脆弱性
--------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2018-10594
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-18-172-01

脚注

 (*1)
 本ページに掲載しているのは、ICS-CERTが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。
 Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

ICS-CERT公開脆弱性情報のJVN iPediaでの検索

ICS-CERT公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

特定のベンダ、または製品の脆弱性情報を検索したい場合

「ベンダ名」「製品」を指定 → 「検索」

ICS-CERT公開脆弱性情報(ICS-CERT AdvisoryまたはAlert)を検索したい場合

  • 医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 → 「検索」
    (検索例:2017年のICSMAアドバイザリ
  • その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 → 「検索」
    (検索例:2017年のICSAアドバイザリ
  • 注意喚起:「キーワード」に「ICS-ALERT」と入力 → 「検索」
    (検索例:過去のICS-CERTアラート

キーワードで検索したい場合

「キーワード」にキーワードを入力 → 「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、こちら を参照ください。

本ページに関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC)
E-mail:

※ICS-CERTが公開した脆弱性情報の内容に関しては、ICS-CERT、またはベンダにお問い合わせください。