English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年5月11日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2026年5月7日公開
| MAXHUB 社の MAXHUB Pivot client application に暗号アルゴリズムの使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-6411 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-127-01 |
|
Schneider Electric 社の EcoStruxure Control Expert、EcoStruxure Process Expert、および PLC製品 Modicon M340/M580/M580 に複数の脆弱性
2024年2月13日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-6408(通信チャネルで送信中のメッセージの整合性への不適切な強制)
CVE-2023-6409(ハードコードされた認証情報の使用)
CVE-2023-27975(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-331-03 |
|
Intrado 社の 911 Emergency Gateway (EGW) にパストラバーサル '.../...//' の脆弱性
2024年4月23日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6074 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-06 |
| Medtronic 社の MyCareLink 24950 Patient Monitor に複数の脆弱性
2018年8月7日 CISA 公開分の更新(Update A)
[更新内容] 深刻度:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2018-10626(データの信頼性についての不十分な検証)
CVE-2018-10622(復元可能な形式でのパスワード保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-18-219-01 |
| Medtronic 社の MyCareLink Patient Monitor に複数の脆弱性
2025年7月24日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-4394(重要な情報の平文保存)
CVE-2025-4395(設定ファイル内の空のパスワード)
CVE-2025-4393(信頼性のないデータのデシリアライゼーション)
CVE-2018-10622(ファイル内またはディスク上の平文保存)
CVE-2025-4386(不適切な物理的アクセス制御)
CVE-2025-4397(ファイル内またはディスク上の平文保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-205-01 |
2026年5月5日公開
| 日立エナジー の PCM600 にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 4.4(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2018-1002208 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-125-01 |
| ABB 社の B&R PVI にログファイルからの情報漏えいに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.0(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-0936 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-125-02 |
| ABB 社の B&R Automation Runtime にログファイルからの情報漏えいに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:N/A:H/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11044 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-125-03 |
| ABB 社の B&R Automation Studio に証明書検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11043 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-125-04 |
| Johnson Controls 社の CEM AC2000 にログファイルからの情報漏えいに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.7(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-21661 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-125-05 |
|
Schneider Electric 社の 複数の EcoStruxure および Modicon 製品 に Capture-replay による認証回避に関する脆弱性
2023年8月15日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-45789 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-23-227-01 |
| 日立エナジー の MSM に複数の脆弱性
2024年10月29日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ユーザの対応不要 |
| 脆弱性番号 | CVE-2024-2398(有効なライフタイム後のリソースの解放の欠如)
CVE-2019-5097(無限ループ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-16 |
2026年4月30日公開
|
ABB 社の ABB System 800xA、Symphony Plus IEC 61850 に入力で指定された数量の不適切な検証の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-3756 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-120-01 |
| ABB 社の PCM600 にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 4.4(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2018-1002208 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-120-02 |
|
ABB 社の Edgenius Management Portal に代替パスまたはチャネルを使用した認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.6(AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-10571 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-120-03 |
|
ABB 社の Ability OPTIMAX に代替パスまたはチャネルを使用した認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14510 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-120-04 |
| ABB 社の AWIN Gateway に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-13777(キャプチャリプレイによる認証回避)
CVE-2025-13778(重要な機能に対する認証の欠如)
CVE-2025-13779(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-120-05 |
| Siemens 社の Ability Symphony Plus Engineering に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:U/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2023-5869(整数オーバーフローまたはラップアラウンド)
CVE-2023-39417(SQLインジェクション)
CVE-2024-7348(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2024-0985(特権の削除/エラーの低下)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-120-06 |
| 三菱電機 の 複数の FA 製品 に入力で指定された数量の不適切な検証に関する脆弱性
2025年4月25日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-3511 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-03 |
|
三菱電機 の MELSEC iQ-F シリーズ の EtherNet/IP モジュール および Ethernet モジュール に複数の脆弱性
2026年3月3日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2026-1874(常に不適切な制御フローの実装)
CVE-2026-1875(リソースの不適切なシャットダウンおよびリリース)
CVE-2026-1876(リソースの不適切なシャットダウンおよびリリース)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-62-01 |
2026年4月28日公開
|
国家安全保障局(NSA)開発のツール GRASSMARLIN に XML 外部エンティティの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | サポート終了(EOL)のため、パッチ提供予定なし。 |
| 脆弱性番号 | CVE-2026-6807 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-118-01 |
2026年4月23日公開
| Yadea 社の 電動バイク T5 に脆弱な認証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.3(AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-70994 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-01 |
|
Carlson Software 社の VASCO-B GNSS Receiver に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-3893 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-02 |
| Milesight 社のカメラ製品に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-28747(ユーザ制御の鍵による認証回避)
CVE-2026-27785(ハードコードされた認証情報の使用)
CVE-2026-32644(ハードコードされた暗号鍵の使用)
CVE-2026-32649(OSコマンドインジェクション)
CVE-2026-20766(ヒープベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-03 |
| SpiceJet 社の オンライン予約システム に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-6375(ユーザ制御の鍵による認証回避)
CVE-2026-6376(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-04 |
|
Hangzhou Xiongmai Technology 社の IP カメラ XM530 に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-65856 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-05 |
|
Intrado 社の 911 Emergency Gateway (EGW) にパストラバーサル '.../...//' の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6074 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-06 |
| Schneider Electric 社の PLC製品 Modicon に複数の脆弱性
2019年5月14日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2018-7846(信頼境界線の違反)
CVE-2018-7842(スプーフィングによる認証回避)
CVE-2018-7847(不適切なアクセス制御)
CVE-2018-7850(セキュリティ判断における信頼性のない入力への依存)
CVE-2018-7845(境界外読み取り)
CVE-2018-7848、CVE-2018-7844(情報漏えい)
CVE-2018-7849、CVE-2018-7843、CVE-2018-7852、CVE-2018-7853、CVE-2018-7854、CVE-2018-7855、CVE-2018-7856、CVE-2018-7857、CVE-2019-6806、CVE-2019-6807、CVE-2019-6808、CVE-2019-6830、CVE-2019-6828、CVE-2019-6829、CVE-2019-6809
(例外がキャッチされない問題)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-01 |
2026年4月21日公開
|
Siemens 社の 複数の製品に TCG TPM2.0 Reference implementation の界外読み取りに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.6(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2884 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-01 |
|
Siemens 社の RUGGEDCOM CROSSBOW Secure Access Manager Primary (SAM-P) に不適切な権限設定に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-27668 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-02 |
| Siemens 社の SINEC NMS にデジタル署名の検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-24032 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-03 |
| Siemens 社の Analytics Toolkit に証明書検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 3.7(AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-40745 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-04 |
|
Hardy Barth 社の Salia EV Charge Controller に危険なタイプのファイルの無制限アップロードに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-5873、CVE-2025-10371 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-05 |
|
Zero Motorcycles 社の ファームウェア にエンティティ認証のない鍵交換 に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.4(AV:A/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 2025年5月にファームウェア・アップデート予定。それまではリスク緩和策。 |
| 脆弱性番号 | CVE-2026-1354 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-06 |
| Siemens 社の SCALANCE に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2020-24588(重要な機能に対する認証の欠如)
CVE-2020-26139(不適切な認証)
CVE-2020-26140(インジェクション)
CVE-2020-26141(データの整合性検証不備)
CVE-2020-26143(不適切な入力確認)
CVE-2020-26144(不適切な入力確認)
CVE-2020-26146(不適切な入力確認)
CVE-2020-26147(不適切な入力確認)
CVE-2021-3712(境界外読み取り)
CVE-2022-0778(無限ループ)
CVE-2022-31765(認証の欠如)
CVE-2022-36323(インジェクション)
CVE-2022-36324(制限またはスロットリング無しのリソースの割り当て)
CVE-2022-36325(クロスサイトスクリプティング (Basic XSS))
CVE-2023-44373(インジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-07 |
|
Siemens 社の RUGGEDCOM CROSSBOW Station Access Controller (SAC) に数値打ち切り誤差に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.7(AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:H/A:L)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6965 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-08 |
| Siemens 社の SINEC NMS にユーザ制御の鍵による認証回避に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-25654 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-09 |
| Silex Technology 社の SD-330AC および AMC Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-32955(スタックベースのバッファオーバーフロー)
CVE-2026-32956(ヒープベースのバッファオーバーフロー)
CVE-2026-32957(重要な機能に対する認証の欠如)
CVE-2026-32958(ハードコードされた暗号鍵の使用)
CVE-2015-5621(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2026-32959(不完全、または危険な暗号アルゴリズムの使用)
CVE-2026-32960(不適切な権限設定)
CVE-2026-32961(ヒープベースのバッファオーバーフロー)
CVE-2026-32962(重要な機能に対する認証の欠如)
CVE-2024-24487(不適切な権限設定)
CVE-2026-32963(クロスサイトスクリプティング)
CVE-2026-32964(CRLF インジェクションの脆弱性)
CVE-2026-32965(リソースの安全ではないデフォルト値への初期化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-10 |
| Siemens 社の Industrial Edge Management に根本の脆弱性による認証回避の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-33892 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-11 |
| SenseLive 社の X3050 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-40630(代替パスまたはチャネルを使用した認証回避)
CVE-2026-25720(不適切なセッション期限)
CVE-2026-35503(ハードコードされた認証情報の使用)
CVE-2026-39462(認証情報の不十分な保護)
CVE-2026-27843(重要な機能に対する認証の欠如)
CVE-2026-40431(重要な情報の平文での送信)
CVE-2026-40623(認証の欠如)
CVE-2026-27841(クロスサイトリクエストフォージェリ)
CVE-2026-40620(重要な機能に対する認証の欠如)
CVE-2026-35064(重要な機能に対する認証の欠如)
CVE-2026-25775(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-12 |
2026年4月16日公開
| Delta Electronics 社の ASDA-Soft にスタックベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-5726 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-01 |
|
Horner Automation 社の Cscape および XL4 PLC、XL7 PLC に脆弱なパスワードの要求に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6284 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-02 |
| Anviz 社の 複数の製品に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-33093(認証の欠如)
CVE-2026-35061(認証の欠如)
CVE-2026-32648(認証の欠如)
CVE-2026-40461(重要な機能に対する認証の欠如)
CVE-2026-35682(コマンドインジェクション)
CVE-2026-35546(重要な機能に対する認証の欠如)
CVE-2026-40066(ダウンロードしたコードの完全性検証不備)
CVE-2026-32324(ハードコードされた暗号鍵の使用)
CVE-2026-31927(相対パストラバーサル)
CVE-2026-33569(重要な情報の平文での送信)
CVE-2026-40434(通信チャネルの送信元の不適切な検証)
CVE-2026-32650(アルゴリズムのダウングレード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-03 |
| AVEVA 社の Pipeline Simulation に認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-5387 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-04 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。