HOME情報セキュリティICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

本文を印刷する

情報セキュリティ

ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

最終更新日:2022年11月28日

 このページでは、米国土安全保障省(DHS)Cybersecurity and Infrastructure Agency(CISA)の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っている ICS-CERT が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

 ICS-CERTが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開しています。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのICS-CERT公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

ICS-CERTが公開した脆弱性のIPAでの公開


 なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

2022年11月22日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
AVEVA 社の AVEVA Edge に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(パッチ適用、リスク緩和策)
【脆弱性番号】CVE-2016-2542(制御されていない検索パスの要素)
       CVE-2021-42794(情報漏えい)
       CVE-2021-42796(不適切なアクセス制御)
       CVE-2021-42797(パストラバーサル:'//UNC/share/name/')
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Digital Alert Systems社の DASDEC にクロスサイトスクリプティングの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 4.7(AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N)(CVSSv3
【攻撃コード】有り
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-18265、CVE-2022-40204
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Phoenix Contact 社の Automation Worx Software Suite に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-3461(バッファエラー)
       CVE-2022-3737(境界外読み取り)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
GE 社の HMI/SCADAソフトウェア CIMPLICITY に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2022-3084(初期化されていないポインタへのアクセス)
       CVE-2022-2952(初期化されていないポインタへのアクセス)
       CVE-2022-2948(ヒープベースのバッファオーバーフロー)
       CVE-2022-2002(信頼性のないポインタデリファレンス)
       CVE-2022-3092(境界外書き込み)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
Moxa 社の ARMベースのコンピュータ に不要な特権による実行に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-3088
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-326-05

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の 複数のFAエンジニアリングソフトウェア製品 に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/2/18 ICS-CERT 公開分の更新(Update G)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2021-20587(ヒープベースのバッファオーバーフロー)
       CVE-2021-20588(長さのパラメータの不適切な処理)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-21-049-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の 複数のファクトリオートメーションエンジニアリング製品
に引用されない検索パスまたは要素に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/7/30 ICS-CERT 公開分の更新(Update I)
 <更新内容>
  ・影響を受ける製品:情報更新

【深 刻 度】基本値 8.3(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2020-14521
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-20-212-04

---------------------------------------------------------------------------------------------
[メディカルアドバイザリ]◆更新◆
Hillrom 社の 複数の Welch Allyn 医療機器マネジメントツール に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/6/1 ICS-CERT 公開分の更新(Update C)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 5.9(AV:A/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策))
【脆弱性番号】CVE-2021-27410(境界外書き込み)
       CVE-2021-27408(境界外読み取り)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsma-21-152-01

2022年11月17日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Red Lion Controls 社の プログラミングソフトウェア Crimson
にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-3090
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-321-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Cradlepoint 社の IBR600 にコマンドインジェクションの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.1(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-3086
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-321-02

2022年11月15日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の HMI ソフトウェア GT SoftGOT2000
にOS コマンドインジェクションの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ベンダに連絡)
【脆弱性番号】CVE-2022-2068
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-319-01

2022年11月10日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Parasolid に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-39157(境界外読み取り)
       CVE-2022-43397(境界外書き込み)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 複数の産業用制御機器のWebサーバログインページ
にクロスサイトリクエストフォージェリの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.5(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-30694
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の ネットワーク管理ソフトウェア SINEC NMS
に信頼性のないデータのデシリアライゼーションに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.6(AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-42550
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINUMERIK ONE および SINUMERIK MC
に認証情報の不十分な保護に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-38465
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の RUGGEDCOM ROS にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-39158
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-05

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の QMS Automotive
にメモリにおける平文での重要な情報の保存に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.6(AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-43958
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-06

---------------------------------------------------------------------------------------------
[アドバイザリ]
オムロン の マシンオートメーションコントローラ NJ/NX シリーズ
にアクティブ状態のデバッグコードに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.3(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】有り
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2022-33971
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-07

---------------------------------------------------------------------------------------------
[アドバイザリ]
オムロン の マシンオートメーションコントローラ NJ/NX シリーズ に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3
【攻撃コード】有り
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2022-34151(ハードコードされた認証情報の使用)
       CVE-2022-33208(キャプチャリプレイによる認証回避)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-08

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の Teamcenter Visualization および JT2Go に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-39136(ヒープベースのバッファオーバーフロー)
       CVE-2022-41660(境界外書き込み)
       CVE-2022-41661(境界外読み取り)
       CVE-2022-41662(境界外読み取り)
       CVE-2022-41663(解放済みメモリの使用)
       CVE-2022-41664(スタックベースのバッファオーバーフロー)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-09

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の WLAN アクセスポイント SCALANCE W1750D に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2002-20001(リソースの枯渇)
       CVE-2022-37885(古典的バッファオーバーフロー)
       CVE-2022-37886(古典的バッファオーバーフロー)
       CVE-2022-37887(古典的バッファオーバーフロー)
       CVE-2022-37888(古典的バッファオーバーフロー)
       CVE-2022-37889(古典的バッファオーバーフロー)
       CVE-2022-37890(古典的バッファオーバーフロー)
       CVE-2022-37891(古典的バッファオーバーフロー)
       CVE-2022-37892(クロスサイトスクリプティング)
       CVE-2022-37896(クロスサイトスクリプティング)
       CVE-2022-37893(コマンドインジェクション)
       CVE-2022-37894(不適切な入力確認)
       CVE-2022-37895(不適切な入力確認)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-10

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 電圧計測器 POWER METER SICAM Q100 に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-43398(セッションの固定化)
       CVE-2022-43439(不適切な入力確認)
       CVE-2022-43545(不適切な入力確認)
       CVE-2022-43546(不適切な入力確認)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-314-11

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の RUGGEDCOM に暗号強度に関する脆弱性
---------------------------------------------------------------------------------------------
※2022/3/10 ICS-CERT 公開分の更新(Update C)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 6.7(AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策))
【脆弱性番号】CVE-2021-37209
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-069-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の シミュレータ Questa および ModelSim
に認証情報の不十分な保護に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/12/16 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 9.0(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-42023
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-13

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE および RUGGEDCOM 製品 に認証の欠如に関する脆弱性
---------------------------------------------------------------------------------------------
※2022/10/13 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品:情報更新

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2022-31765
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-286-11

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の Mendix SAML モジュール
に Capture-replay による認証回避に関する脆弱性
---------------------------------------------------------------------------------------------
※2022/9/15 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/脆弱性番号/対策:情報更新

【深 刻 度】基本値 7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-37011、CVE-2022-44457
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-258-04

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Delta Electronics 社の DIAEnergie に複数の脆弱性
---------------------------------------------------------------------------------------------
※2022/10/25 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/脆弱性番号/対策:情報更新

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ベンダに連絡)
【脆弱性番号】CVE-2022-41701(クロスサイトスクリプティング)
       CVE-2022-40965(クロスサイトスクリプティング)
       CVE-2022-41555(クロスサイトスクリプティング)
       CVE-2022-41702(クロスサイトスクリプティング)
       CVE-2022-41651(クロスサイトスクリプティング)
       CVE-2022-40967(SQLインジェクション)
       CVE-2022-41133(SQLインジェクション)
       CVE-2022-41773(SQLインジェクション)
       CVE-2022-41775(SQLインジェクション)
       CVE-2022-43447(SQLインジェクション)
       CVE-2022-43506(SQLインジェクション)
       CVE-2022-43457(SQLインジェクション)
       CVE-2022-43452(SQLインジェクション)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-06

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
LS ELECTRIC 社の PLC および XG5000 に暗号強度に関する脆弱性
---------------------------------------------------------------------------------------------
※2022/8/16 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/脆弱性番号/対策:情報更新

【深 刻 度】基本値 6.5(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ファームウェア・アップデート)
【脆弱性番号】CVE-2022-2758
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の RUGGEDCOM ROS にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2022/9/15 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-39158
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-258-03

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE X-200 および X-200IRT ファミリ
にクロスサイトスクリプティングの脆弱性
---------------------------------------------------------------------------------------------
※2022/10/13 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・深刻度:情報更新

【深 刻 度】基本値 9.6(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2022-40631
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-286-15

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の Capital VSTAR に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/12/16 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・脆弱性番号:情報更新

【深 刻 度】基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2021-31344(型の取り違え)
       CVE-2021-31345(入力で指定された数量の不適切な検証)
       CVE-2021-31346(入力で指定された数量の不適切な検証)
       CVE-2021-31881(境界外読み取り)
       CVE-2021-31882(バッファエラー)
       CVE-2021-31883(バッファエラー)
       CVE-2021-31884(不適切なNULLによる終了)
       CVE-2021-31889(整数アンダーフロー)
       CVE-2021-31890(一貫性のない構造要素の不適切な処理)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-21-350-06

2022年11月3日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
ETIC Telecom 社の Remote Access Server (RAS) に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ファームウェア・アップデート)
【脆弱性番号】CVE-2022-3703(データの信頼性についての不十分な検証)
       CVE-2022-41607(パス・トラバーサル)
       CVE-2022-40981(危険なタイプのファイルの無制限アップロード)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-307-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Nokia 社の ASIK AirScale 5G Common System Module に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.4(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ベンダに問い合わせ)
【脆弱性番号】CVE-2022-2482(ブートコードを含む揮発性メモリの不適切なアクセス制御)
       CVE-2022-2484(ブートコードを含む揮発性メモリの不適切なアクセス制御)
       CVE-2022-2483(書き込み可能なメモリに保存された不変と仮定されるデータ)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-307-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Delta Industrial Automation 社の DIALink にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.1(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2022-2969
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-307-03

2022年11月1日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の 複数の FA 製品 に複数の脆弱性
---------------------------------------------------------------------------------------------
※2022/8/9 ICS-CERT 公開分の更新(Update C)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2022-0778(無限ループ)
       CVE-2022-1292(OSコマンドインジェクション)
【参   照】https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-01

脚注

 (脚注1)
 本ページに掲載しているのは、ICS-CERTが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。
 Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

ICS-CERT公開脆弱性情報のJVN iPediaでの検索

ICS-CERT公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

特定のベンダ、または製品の脆弱性情報を検索したい場合

「ベンダ名」「製品」を指定 → 「検索」

ICS-CERT公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合

  • 医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 → 「検索」
    (検索例:2017年のICSMAアドバイザリ
  • その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 → 「検索」
    (検索例:2017年のICSAアドバイザリ
  • 注意喚起:「キーワード」に「ICS-ALERT」と入力 → 「検索」
    (検索例:過去のICS Alert

キーワードで検索したい場合

「キーワード」にキーワードを入力 → 「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

本ページに関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC)
E-mail:

※ICS-CERTが公開した脆弱性情報の内容に関しては、ICS-CERT、またはベンダにお問い合わせください。