English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2025年7月28日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2025年7月24日公開
| 三菱電機 の CNC シリーズ に制御されていない検索パスの要素に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2016-2542 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-01 |
|
Network Thermostat 社の WiFi サーモスタット X シリーズ に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-6260 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-02 |
| Honeywell 社の Experion PKS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2520(初期化されていない変数の使用)
CVE-2025-2521(バッファエラー)
CVE-2025-2522(再利用前に削除されていないリソース内重要情報)
CVE-2025-2523(整数アンダーフロー)
CVE-2025-3946(誤ったハンドラの展開)
CVE-2025-3947(整数アンダーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-03 |
|
LG Innotek 社の ネットワークカメラ LNV5110R に代替パスまたはチャネルを使用した認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) 基本値 8.3(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 販売・サポート終了製品のため無し。 |
| 脆弱性番号 | CVE-2025-7742 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-04 |
| Medtronic 社の MyCareLink Patient Monitor に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-4394(重要な情報の平文保存)
CVE-2025-4395(設定ファイル内の空のパスワード)
CVE-2025-4393(信頼性のないデータのデシリアライゼーション)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-205-01 |
|
ICONICS 社 の ICONICS Product Suite および 三菱電機 の MC Works64 に複数の脆弱性
2022年7月26日 CISA 公開分の更新(Update A)
[更新内容] 深刻度/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-29834(パス・トラバーサル)
CVE-2022-33315(信頼性のないデータのデシリアライゼーション)
CVE-2022-33317(信頼性のない制御領域からの機能の組み込み)
CVE-2022-33318(信頼性のないデータのデシリアライゼーション)
CVE-2022-33319(境界外読み取り)
CVE-2022-33320(信頼性のないデータのデシリアライゼーション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-202-04 |
2025年7月22日公開
| DuraComm Corporation 社の DP-10iN-100-MU に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-41425(クロスサイトスクリプティング)
CVE-2025-48733(重要な機能に対する認証の欠如)
CVE-2025-53703(重要な情報の平文での送信)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-01 |
| Lantronix 社の Provisioning Manager に XML 外部エンティティの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.0(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-7766 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-02 |
|
Schneider Electric 社の EcoStruxure に XML 外部エンティティの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 4.3(AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-6788 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-03 |
| Schneider Electric 社の EcoStruxure Power Operation に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(パッチ適用、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-50447(evalインジェクション)
CVE-2024-28219(整数オーバーフローの発生によるバッファオーバーフロー)
CVE-2022-45198(高圧縮データの不適切な処理 (データ増幅))
CVE-2023-5217(境界外書き込み)
CVE-2023-35945(リソースの枯渇)
CVE-2023-44487(リソースの枯渇)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-04 |
| Schneider Electric 社の System Monitor Application にクロスサイトスクリプティングの脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.9(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2020-11023 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-05 |
|
Schneider Electric 社の EcoStruxure IT Data Center Expert に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.5(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-50121(OSコマンドインジェクション)
CVE-2025-50122(エントロピー不足)
CVE-2025-50123(コード・インジェクション)
CVE-2025-50125(サーバーサイドのリクエストフォージェリ)
CVE-2025-50124(不適切な権限管理)
CVE-2025-6438(XML外部エンティティ参照の不適切な制限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-06 |
|
Schneider Electric 社の PLC 製品 Modicon に複数の脆弱性
2025年6月24日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-3898(不適切な入力確認)
CVE-2025-3899(クロスサイトスクリプティング)
CVE-2025-3112(リソースの枯渇)
CVE-2025-3905(クロスサイトスクリプティング)
CVE-2025-3116(不適切な入力確認)
CVE-2025-3117(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-03 |
|
Schneider Electric 社の EVLink WallBox に複数の脆弱性
2025年6月24日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性の詳細:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | リスク緩和策。販売・サポート終了のため、後継製品EVLink Pro ACへのアップグレード推奨。 |
| 脆弱性番号 | CVE-2025-5740(パス・トラバーサル)
CVE-2025-5741(パス・トラバーサル)
CVE-2025-5742(クロスサイトスクリプティング)
CVE-2025-5743(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-04 |
|
Schneider Electric 社の Vijeo Designer および EcoStruxure Machine Expert に権限管理に関する脆弱性
2025年1月14日 CISA 公開分の更新(Update A)
[更新内容] タイトル/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-8306 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-014-02 |
2025年7月17日公開
| Leviton 社の AcquiSuite および Energy Monitoring Hub にクロスサイトスクリプティングの脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.3(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-6185 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-198-01 |
| Panoramic Corporation 社の Digital Imaging Software に制御されていない検索パスの要素に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2024-22774 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-198-01 |
|
Johnson Controls 社の Software House C・CURE 9000 に不適切なデフォルトパーミッションに関する脆弱性
2024年7月9日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-32861 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-05 |
2025年7月15日公開
| 日立エナジー の Asset Suite に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.1(AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-1484(不完全なブラックリスト)
CVE-2025-2500(認証情報の平文保存)
CVE-2019-9262(境界外書き込み)
CVE-2019-9429(境界外書き込み)
CVE-2019-9256(境界外書き込み)
CVE-2019-9290(無効なポインタや参照の解放)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-196-01 |
| ABB 社の RMC-100 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-6074(ハードコードされた暗号鍵の使用)
CVE-2025-6073(スタックベースのバッファオーバーフロー)
CVE-2025-6072(スタックベースのバッファオーバーフロー)
CVE-2025-6071(ハードコードされた暗号鍵の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-196-02 |
| LITEON 社の EV 充電装置 IC48A および IC80A に認証情報の平文保存に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.5(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-7357 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-196-03 |
|
Schneider Electric 社の EcoStruxure に制御されていない検索パスの要素に関する脆弱性
2025年2月6日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVVE-2024-2658 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-02 |
|
Schneider Electric 社の PLC製品 Modicon M241/M251/M258/LMC058 に別領域リソースに対する外部からの制御可能な参照に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策)
|
| 脆弱性番号 | CVE-2025-2875 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-08 |
|
Schneider Electric 社の Uni-Telway Driver に入力確認に関する脆弱性
2025年3月11日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-10083 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-070-01 |
2025年7月10日公開
| Siemens 社の SINEC NMS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40735(SQLインジェクション)
CVE-2025-40736(重要な機能に対する認証の欠如)
CVE-2025-40737(パス・トラバーサル)
CVE-2025-40738(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-01 |
| Siemens 社の Solid Edge SE2025 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40739(境界外読み取り)
CVE-2025-40740(境界外読み取り)
CVE-2025-40741(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-02 |
| Siemens 社の TIA Administrator に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-23364(デジタル署名の不適切な検証)
CVE-2025-23365(不適切なアクセス制御)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-03 |
| Siemens 社の SIMATIC CN 4100 に入力確認に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40593 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-04 |
|
Siemens 社の TIA Project-Server およびTIA Portal に危険なタイプのファイルの無制限アップロードに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 4.3(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-27127 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-05 |
|
Siemens 社の SIPROTEC 5 に GET リクエストにおけるクエリ文字列からの情報漏えいに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 6.0(AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応予定。それまではリスク緩和策。 |
| 脆弱性番号 | CVE-2025-40742 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-06 |
|
Delta Electronics 社の DTM Soft に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-53415 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-07 |
| Advantech 社の iView に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-53397(クロスサイトスクリプティング)
CVE-2025-53519(クロスサイトスクリプティング)
CVE-2025-41442(クロスサイトスクリプティング)
CVE-2025-48891(SQLインジェクション)
CVE-2025-46704(パス・トラバーサル)
CVE-2025-53475(SQLインジェクション)
CVE-2025-52577(SQLインジェクション)
CVE-2025-53515(SQLインジェクション)
CVE-2025-52459(引数の挿入または変更)
CVE-2025-53509(引数の挿入または変更)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-08 |
| KUNBUS 社の RevPi Webstatus に認証アルゴリズムの不適切な実装に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-41646 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-09 |
| End-of-Train and Head-of-Train remote linking protocol に脆弱な認証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 7.2(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-1727 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-10 |
| KUNBUS 社の Revolution Pi に複数の脆弱性
2025年5月1日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-24522(重要な機能に対する認証の欠如)
CVE-2025-32011(根本の脆弱性による認証回避)
CVE-2025-35996(Webページ内のサーバーサイドインクルード(SSI)の不適切な無効化)
CVE-2025-36558(Webページ内のサーバーサイドインクルード(SSI)の不適切な無効化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-121-01 |
|
ECOVACS 社の ロボット掃除機 DEEBOT および ベースステーションに複数の脆弱性
2025年5月15日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-30198(ハードコードされた暗号鍵の使用)
CVE-2025-30199(ダウンロードしたコードの完全性検証不備)
CVE-2025-30200(ハードコードされた暗号鍵の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-135-19 |
|
IDEC Corporation 社の 複数の製品 に複数の脆弱性
2024年9月19日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-41927(重要な情報の平文での送信)
CVE-2024-28957(予測可能な数字や識別子の生成)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-263-02 |
2025年7月8日公開
| Emerson 社の ソフトウェア ValveLink に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3)
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-52579(メモリにおける平文での重要な情報の保存)
CVE-2025-50109(メモリにおける平文での重要な情報の保存)
CVE-2025-46358(保護メカニズムの不具合)
CVE-2025-48496(制御されていない検索パスの要素)
CVE-2025-53471(不適切な入力確認)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-189-01 |
2025年7月3日公開
|
日立エナジー の Relion 670/650 および SAM600-IO に例外的な状態のチェックに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-1718 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-01 |
| 日立エナジー の MicroSCADA Pro/X SYS600 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.3(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) 基本値 8.5(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-39201(不適切なデフォルトパーミッション)
CVE-2025-39202(ファイル名やパス名の外部制御)
CVE-2025-39203(データの整合性検証不備)
CVE-2025-39204(データクエリからの重要な情報の漏えい)
CVE-2025-39205(不正な証明書検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-02 |
| 三菱電機 の MELSOFT Update Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-11477(整数アンダーフロー)
CVE-2025-0411(保護メカニズムの不具合)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-03 |
|
三菱電機 の MELSEC iQ-F シリーズ に過度に制限されたアカウントロックアウトメカニズムの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-5241 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-04 |
2025年7月1日公開
| FESTO Didactic 社の CP、MPS 200、MPS 400 にバッファエラーの脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2020-15782 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-01 |
|
FESTO 社/FEST Didactic 社の CIROS Studio/Education、Automation Suite、FluidDraw、FluidSIM、MES-PC に境界外書き込みに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-3935 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-02 |
| FESTO 社の CODESYS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-31802(部分的な文字列の比較)
CVE-2022-31803(リソースの枯渇)
CVE-2022-31804(過剰なサイズ値のメモリ割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-03 |
|
FESTO 社の Hardware Controller、Hardware Servo Press Kit に OS コマンドインジェクションの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート) |
| 脆弱性番号 | CVE-2022-30311、CVE-2022-30310、CVE-2022-30309、CVE-2022-30308 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-04 |
| Voltronic Power 社の Viewpower および PowerShield 社の NetGuard に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3)
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2022-31491(危険なメソッドや機能の公開)
CVE-2022-43110(リクエストの直接送信)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-05 |
|
日立エナジー の Relion 670/650 および SAM600-IO に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3)
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2403 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-06 |
|
日立エナジー の Modular Switchgear Monitoring (MSM) にクロスサイトスクリプティングの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3)
基本値 5.3(AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2020-11022 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-182-07 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。