情報セキュリティ
最終更新日:2026年7月13日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
|
オープンソースのプログラマブルロジックコントローラ OpenPLC V3 にファイル名やパス名の外部制御に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(OpenPLC v4 へのアップグレード) |
| 脆弱性番号 | CVE-2026-14480 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-190-01 |
| Schneider Electric 社の PowerChute Serial Shutdown に 複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.1(AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-2399(パス・トラバーサル)
CVE-2026-2404(不適切なエンコード、または出力のエスケープ)
CVE-2026-2402(過度な認証試行の不適切な制限)
CVE-2026-2405(リソースの枯渇)
CVE-2026-2403(入力で指定された数量の不適切な検証)
CVE-2026-2400(CRLF インジェクションの脆弱性)
CVE-2026-2401(ログファイルからの情報漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-190-02 |
|
Schneider Electric 社の Easergy MiCOM Px40 シリーズ にハードコードされた認証情報の使用に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップグレード) |
| 脆弱性番号 | CVE-2026-4832 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-190-03 |
|
カナダ・ケベック州の電力会社 Hydro-Québec の 充電ステーション管理システム Le Circuit Electrique charging station backend に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 対応済み |
| 脆弱性番号 | CVE-2026-20744(不適切なアクセス制御)
CVE-2026-42952(過度な認証試行の不適切な制限)
CVE-2026-44383(不適切なセッション期限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-01 |
|
日立エナジー の PROMOD V にHTTPSの代わりにHTTPへの依存に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-10763 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-02 |
| 日立エナジー の e-mesh EMS にヒープベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-42945 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-03 |
| Siemens 社の Mendix Studio Pro に コードインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.4(AV:N/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-48192 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-04 |
|
Siemens 社の SINEC OS に 複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-23112(無限ループ)他、計77個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-05 |
| Labcenter Electronics 社の Proteus 9 に 複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-42953(境界外書き込み)
CVE-2026-49033(スタックベースのバッファオーバーフロー)
CVE-2026-42958(解放済みメモリの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-06 |
| Digi International 社の PortServer TS、Digi One SP IA に 複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-12352(境界外書き込み)
CVE-2026-12948(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-07 |
| ST Engineering iDirect 社の ターミナル製品 iQ シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-38059(重要な機能に対する認証の欠如)
CVE-2026-38057(クロスサイトリクエストフォージェリ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-183-01 |
|
CubeSpace 社の リアクションホイール CubeSpace CW0057 にデジタル署名の検証に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.1(AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-13743 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-183-02 |
| Gardyn 社の IoT ハブ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-13768(ハードコードされた認証情報の使用)
CVE-2026-55726(認可されていない制御領域への重要情報の漏えい)
CVE-2026-54477(HTTPヘッダのスクリプト構文の不適切な無効化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-183-03 |
| 三菱電機 の CNC シリーズ に入力で指定された数量の不適切な検証に関する脆弱性
2024年10月17日 CISA 公開分の更新(Update D)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-7316 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-03 |
| Gardync 社の 水耕栽培システム Gardyn Home Kit に複数の脆弱性
2026年2月24日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.3(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-29628(重要な情報の平文での送信)
CVE-2025-29629(デフォルトの認証情報の使用)
CVE-2025-29631(OSコマンドインジェクション)
CVE-2025-1242(ハードコードされた認証情報の使用)
CVE-2025-10681(ハードコードされた認証情報の使用)
CVE-2026-28766(重要な機能に対する認証の欠如)
CVE-2026-25197(ユーザ制御の鍵による認証回避)
CVE-2026-32646(重要な機能に対する認証の欠如)
CVE-2026-28767(OSコマンドインジェクション)
CVE-2026-32662(アクティブ状態のデバッグコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03 |
|
WHILL 社の 電動車椅子 Model C2 および 折畳み式コンパクト電動車椅子 Model F に重要な機能に対する認証の欠如に関する脆弱性
2025年12月30日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-14346 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01 |
| 三菱電機 の MELSOFT Update Manager SW1DND-UDM-M に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-53816(ヒープベースのバッファオーバーフロー)
CVE-2025-53817(NULLポインタデリファレンス)
CVE-2025-55188(リンク解釈の問題)
CVE-2025-11001(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-01 |
|
オープンソースの Web ベース SCADA/HMI ソフトウェア Frangoteam FUXA にスプーフィングによる認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-13207 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-02 |
|
Schneider Electric 社の EcoStruxure IT Data Center Expert に XML 外部エンティティの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-8045 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-03 |
| Schneider Electric 社の EasyLogic T150 および Saitel DP RTU に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-9650(認証情報の不十分な保護)
CVE-2026-9651(重要なリソースに対する不適切なパーミッションの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-04 |
|
B&R Industrial Automation 社の 複数製品に影響を与える オープンソースのデータ圧縮ソフトウェアおよびライブラリXZ Utils のスレッド内の競合状態に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-31115 |
| 参照 | |
| StoneFly 社の Storage Concentrator に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-50110(ハードコードされた認証情報の使用)
CVE-2026-56413(OSコマンドインジェクション)
CVE-2026-56415(OSコマンドインジェクション)
CVE-2026-55721(SQLインジェクション)
CVE-2026-50040(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-06 |
| Delta Electronics 社の PLC DVP12SE に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。それまではワークアラウンド(回避策)。 |
| 脆弱性番号 | CVE-2026-12819(重要な機能に対する認証の欠如)
CVE-2026-12818(制限またはスロットリング無しのリソースの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-07 |
| オープンソースのライブラリおよびソフトウェア OFFIS DCMTK Toolkit に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-50003(パス・トラバーサル)
CVE-2026-50254(有効期限後のメモリの解放の欠如)
CVE-2026-35505(有効期限後のメモリの解放の欠如)
CVE-2026-52868(パス・トラバーサル)
CVE-2026-44628(型の取り違え)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-181-01 |
|
横河電機 の FAST/TOOLS および CI Server に重要な情報の平文での送信に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-11833 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-01 |
| EVoke Systems 社の Charging Station Management System に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2026-40702(重要な機能に対する認証の欠如)
CVE-2026-50176(過度な認証試行の不適切な制限)
CVE-2026-54479(不適切なセッション期限)
CVE-2026-44622(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-02 |
| Horner Automation 社の Cscape に境界外読み取りに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-12897 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-03 |
| Daktronics 社の コントローラ製品のファームウェア に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-28701(パス・トラバーサル)
CVE-2026-33560(危険なタイプのファイルの無制限アップロード)
CVE-2026-31928(ハードコードされた認証情報の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-04 |
| H.VIEW 社の 防犯カメラ HV-500S6 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-55975(OSコマンドインジェクション)
CVE-2026-56414(危険なタイプのファイルの無制限アップロード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-05 |
|
Delta Electronics 社の DTM Soft に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-12578 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-06 |
| Schneider Electric 社の PowerLogic P7 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-9716(NULLポインタデリファレンス)
CVE-2026-9717(OSコマンドインジェクション)
CVE-2026-9718(到達可能なアサーション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-07 |
| AzeoTech 社の DAQFactory に複数の脆弱性
2026年6月18日 CISA 公開分の更新(Update A)
[更新内容] タイトル/脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2026-12390(型の取り違え)
CVE-2026-12921(解放済みメモリの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-02 |
| pydicom 社の pynetdicom Library にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダの GitHub ページ参照 |
| 脆弱性番号 | CVE-2026-56445 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-176-01 |
|
Open Health Imaging Foundation (OHIF) の DICOM にサーバサイドのリクエストフォージェリの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-12473 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-176-02 |
|
Siemens 社の WinCC Certificate Manager にファイル内またはディスク上の平文保存に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.1(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-24349 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-01 |
|
Siemens 社の DIGSI5 プロトコルを使用する保護継電器 SIPROTEC 5 に危険なタイプのファイルの無制限アップロードに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.1(AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2025-40808 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-02 |
|
Siemens 社の OpenSSL を使用する複数の製品 に危険なタイプのファイルの無制限アップロードに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-15467 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-03 |
| Siemens 社の SINEC INS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-46746(OSコマンドインジェクション)
CVE-2026-46747(パストラバーサル '/dir/../filename')
CVE-2026-46748(不要な特権による実行)
CVE-2026-46749(予測可能なソルトの一方向ハッシュの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-04 |
| ABB 社の Freelance Security Lock に根本の脆弱性による認証回避の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.6(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7064 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-05 |
| B&R Industrial Automation 社の 複数の製品に Linux カーネルの脆弱性による影響 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:H/RC:C)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2026-31431(領域間での誤ったリソース移動)
CVE-2026-43284(任意の場所に任意の値を書き込み可能な状態)
CVE-2026-46333(不適切な権限管理)
CVE-2026-46300(境界外書き込み)
CVE-2026-43494(同一のリソースまたはハンドルの重複解放)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-06 |
|
Hubbell 社の Aclara Metrum Cellular Web Interface に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-1840 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-07 |
| Brightpick AI 社の Brightpick Mission Control / Internal Logic Control に複数の脆弱性
2025年11月13日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-64307(重要な機能に対する認証の欠如)
CVE-2025-64308(認証情報の保護しない転送)
CVE-2025-64309(認証情報の保護しない転送)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-04 |
| Rockwell Automation 社の Arena に複数の脆弱性
2024年12月10日 CISA 公開分の更新(Update C)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-11155(解放済みメモリの使用)
CVE-2024-11156(境界外書き込み)
CVE-2024-11158(不適切な初期化)
CVE-2024-12130(境界外読み取り)
CVE-2024-11157(境界外書き込み)
CVE-2024-12175(解放済みメモリの使用)
CVE-2024-12672(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2024-11364(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2025-6377(境界外書き込み)
CVE-2025-6376(境界外書き込み)
CVE-2026-6071(境界外書き込み)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06 |
|
Zero Motorcycles 社の ファームウェア にエンティティ認証のない鍵交換に関する脆弱性
2026年4月21日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.4(AV:A/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-1354 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-06 |
|
AVer 社の カメラ製品 PTC に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-40624 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-01 |
| AzeoTech 社の DAQFactory に型の取り違えに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2026-12390 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-02 |
|
Rockwell Automation 社の FactoryTalk Historian Site Edition に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.7(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-13036(競合状態)
CVE-2025-44019(例外がキャッチされない問題)
CVE-2025-36539(例外がキャッチされない問題)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-03 |
| Schneider Electric 社の EasyLogic T150 および Saitel DP にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2026-6865 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-04 |
| 三菱電機 の MELSEC iQ-F シリーズ に整数オーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-8805 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-05 |
|
三菱電機 の MELSEC iQ-F シリーズ FX5-ENET/IP イーサネットモジュール に予期せぬ動作に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2026-8806 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-06 |
|
Schneider Electric 社の Easergy、EcoStruxture、PowerLogic、および Saitel にエントロピー不足に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-4827 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-07 |
| Apollo Pharmacy 社の 血糖値測定システム APG-01 BT に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-50034(重要な情報の平文での送信)
CVE-2026-52866(認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-169-01 |
|
Rockwell Automation 社の FactoryTalk Analytics PavilionX に認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14272 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-01 |
| Rockwell Automation 社の RSLinx に境界外読み取りに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2020-13573 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-02 |
|
Rockwell Automation 社の コントローラ製品 Logix 5370 & 5570 にリソースの不適切なシャットダウンおよびリリースに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-11317 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-03 |
| Rockwell Automation 社の CompactLogix に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11694(データの整合性検証不備)
CVE-2026-9307(認可されていない制御領域への重要情報の漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-04 |
|
Rockwell Automation 社の FLEX I/Oシリーズ向け通信アダプタモジュール に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-0646(有効期限後のメモリの解放の欠如)
CVE-2026-0647(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-05 |
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
IPA セキュリティ センター(IPA/ISEC)

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。