情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2023年10月2日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

  1. (脚注1)
    本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

2023年9月28日公開

アドバイザリ
Rockwell Automation 社の PanelView 800 に入力確認に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデートおよびリスク緩和策)
脆弱性番号 CVE-2023-27167
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-271-01

アドバイザリ
DEXMA 社の DEXGate に複数の脆弱性
深刻度 基本値 8.0(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 現状無し(ベンダから返信無し)
脆弱性番号 ​​​​​​​​​​CVE-2023-40153(クロスサイトスクリプティング)
CVE-2023-42435(クロスサイトリクエストフォージェリ)
CVE-2023-4108(不適切な認証)
CVE-2023-41088(平文での重要情報の通信)
CVE-2023-42666(情報漏えい)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-271-02

2023年9月26日公開

アドバイザリ
Suprema 社の BioStar 2 に SQL インジェクションの脆弱性
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2023-27167
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-01

アドバイザリ
日立エナジー の Asset Suite 9 に認証に関する脆弱性
深刻度 基本値 6.9(AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:H/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 ​​​​​​​​​​CVE-2023-4816
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-02

アドバイザリ
三菱電機 の シーケンサエンジニアリングソフトウェア GX Works3 に不適切なデフォルトパーミッションに関する脆弱性 
深刻度 基本値 9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデートおよびリスク緩和策)
脆弱性番号 ​​CVE-2023-4088
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-03

アドバイザリ
Advantech 社の シリアルデバイスサーバ EK1521-CE/EK-1522-CE/EK-1524-CE シリーズ にクロスサイトスクリプティングの脆弱性
深刻度 基本値 5.4(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)(CVSSv3
攻撃コード 有り
対策 有り(アップグレード)
脆弱性番号 CVE-2023-4202、CVE-2023-4203 
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-04

アドバイザリ
Baker Hughes 社の Bently Nevada 3500 に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号
CVE-2023-34437(情報漏えい)
CVE-2023-34441(平文での重要情報の通信)
CVE-2023-36857(キャプチャリプレイによる認証回避)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-269-05
 

2023年9月21日公開

アドバイザリ
Real Time Automation 社の 460MCBS にクロスサイトスクリプティングの脆弱性
深刻度 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2023-4523
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-01

アドバイザリ
Siemens 社の Spectrum Power 7 に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
深刻度 基本値 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 ​​​​​​​​​​CVE-2023-38557
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-02

アドバイザリ
Delta Electronics 社の DIAScreen に境界外書き込みに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
​​CVE-2023-5068
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-03

アドバイザリ
Rockwell Automation 社の 1756 EtherNet/IP 通信モジュール にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 ​​​​​​​​​​CVE-2023-2262
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-04

アドバイザリ
Rockwell Automation 社の Connected Components Workbench に複数の脆弱性
深刻度 基本値 9.6(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート、リスク緩和策)
脆弱性番号
CVE-2020-16017(解放済みメモリの使用)
CVE-2022-0609(解放済みメモリの使用)
CVE-2020-16009(境界外書き込み)
CVE-2020-16013(境界外書き込み)
CVE-2020-15999(境界外書き込み)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-05

アドバイザリ
Rockwell Automation 社の FactoryTalk View Machine Edition に入力確認に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 ​​​​​​​​​​CVE-2023-2071
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-264-06

2023年9月19日公開

アドバイザリ
Siemens 社の SIMATIC PCS neo Administration Console にファイルおよびディレクトリ情報の漏えいに関する脆弱性
深刻度 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(パッチ適用、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-38558
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-01

アドバイザリ
オムロン の Sysmac Studio および NX-IO Configurator にパストラバーサルの脆弱性
深刻度 基本値 5.5(AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 ​​​​​​​​​​CVE-2018-1002205
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-03

アドバイザリ
オムロン の Sysmac Studio に認可に関する脆弱性
深刻度 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2022-45793
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-04

アドバイザリ
オムロン の Sysmac CJ/CS/CP シリーズ に認可に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 ​​​​​​​​​​CVE-2022-45790
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-05

2023年9月14日公開


アドバイザリ
Siemens 社の SIMATIC 製品 および SIPLUS 製品 に整数オーバーフローの脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2023-28831
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-01

アドバイザリ
Siemens 社の Parasolid に境界外書き込みに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 ​​​​​​​​​​CVE-2023-41032、CVE-2023-41033
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-02

アドバイザリ
Siemens 社の QMS Automotive に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
​​CVE-2022-43958(認証情報の平文保存)
CVE-2023-40724(メモリにおける平文での重要な情報の保存)
CVE-2023-40725(エラーメッセージからの情報漏えい)
CVE-2023-40726(サーバが生成した重要情報を含むエラーメッセージ)
CVE-2023-40727(デジタル署名の不適切な検証)
CVE-2023-40728(重要情報のセキュアでない保存)
CVE-2023-40729(平文での重要情報の通信)
CVE-2023-40730(不適切なアクセス制御)
CVE-2023-40731(危険なタイプのファイルの無制限アップロード)
CVE-2023-40732(不適切なセッション期限)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-03

アドバイザリ
Siemens 社の RUGGEDCOM APE1808 製品ファミリ に複数の脆弱性
深刻度 基本値 8.2(AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 ​​​​​​​​​​CVE-2017-5715(情報漏えい)
CVE-2021-38578(バッファアンダーフロー)
CVE-2022-24350(古典的バッファオーバーフロー)
CVE-2022-24351(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-27405(境界外読み取り)
CVE-2022-29275(バッファエラー)
CVE-2022-30283(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-30772(境界外書き込み)
​CVE-2022-32469(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-32470(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-32471(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-32475(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-32477(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-32953(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-32954(Time-of-check Time-of-use (TOCTOU) 競合状態)
CVE-2022-35893(不適切な入力確認)
CVE-2022-35894(有効期限後のメモリの解放の欠如)
​CVE-2022-35895(境界外書き込み)
CVE-2022-35896(不適切な入力確認)
CVE-2022-36338(不適切な入力確認)
CVE-2023-24932(不適切に実装されたセキュリティチェック)
CVE-2023-27373(不適切な入力確認)
CVE-2023-31041(認証情報の平文保存)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-04

アドバイザリ
Siemens 社の SIMATIC Field PG および SIMATIC IPC に情報漏えいに関する脆弱性 
深刻度 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2022-40982
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-05

アドバイザリ
富士通ソフトウェア の Infrastructure Manager に重要な情報の平文保存に関する脆弱性
深刻度 基本値 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 ​​​​​​​​​​CVE-2023-3935
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-06

アドバイザリ
Rockwell Automation 社の Pavilion8 に認証に関する脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号
CVE-2023-29463
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-257-07
 

2023年9月12日公開

アドバイザリ
日立エナジー の Lumada Asset Performance Management (APM) Edge に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号
CVE-2023-0215(解放済みメモリの使用)
CVE-2022-4450(二重解放)
CVE-2023-0286(型の取り違え)
CVE-2022-4304(観測可能な不一致)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-01

アドバイザリ
富士通ソフトウェア の Infrastructure Manager に重要な情報の平文保存に関する脆弱性
深刻度 基本値 5.9(AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 ​​​​​​​​​​CVE-2023-39903
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02

2023年9月7日公開

アドバイザリ
Dover Fueling Solutions 社の MAGLINK LX Web Console Configuration に複数の脆弱性
深刻度 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
CVE-2023-41256(代替パスまたはチャネルを使用した認証回避)
​CVE-2023-36497(不適切なアクセス制御)
​CVE-2023-38256(パス・トラバーサル)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-250-01

アドバイザリ
Phoenix Contact 社の TC ROUTER および TC CLOUD CLIENT に複数の脆弱性
深刻度 基本値 9.6(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 有り
対策 有り(ファームウェア・アップデート、ワークアラウンド(回避策))
脆弱性番号
CVE-2023-3526(クロスサイトスクリプティング)
​CVE-2023-3569(XMLエンティティ拡張)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-250-02

アドバイザリ
Socomec 社の MOD3GP-SY-120K に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 販売終了のため無し。新製品へのアップグレード推奨。
脆弱性番号
​​CVE-2023-38582(クロスサイトスクリプティング)
​CVE-2023-39446(クロスサイトリクエストフォージェリ)
​CVE-2023-41965(重要情報のセキュアでない保存)
CVE-2023-41084(検証および完全性チェックを行っていない Cookie への依存)
CVE-2023-40221(コード・インジェクション)
CVE-2023-39452(認証情報の平文保存)
​CVE-2023-38255(クロスサイトスクリプティング)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-250-03
 

2023年9月5日公開

アドバイザリ
富士通 の リアルタイム映像伝送装置 IPシリーズ にハードコードされた認証情報の使用に関する脆弱性
深刻度 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、ワークアラウンド(回避策))
脆弱性番号 CVE-2023-38433
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-248-01

メディカルアドバイザリ
Softneta 社の MedDream PACS に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 ​​​​CVE-2023-40150(危険なメソッドや機能の公開)
CVE-2023-39227(認証情報の平文保存)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-248-01

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
 (検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
 (検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
 (検索例:過去のICS Alert

■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。