情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2026年7月13日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

2026年7月9日公開

アドバイザリ
オープンソースのプログラマブルロジックコントローラ OpenPLC V3 にファイル名やパス名の外部制御に関する脆弱性
深刻度 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(OpenPLC v4 へのアップグレード)
脆弱性番号 CVE-2026-14480
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-190-01
アドバイザリ
Schneider Electric 社の PowerChute Serial Shutdown に 複数の脆弱性
深刻度 基本値 6.1(AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2026-2399(パス・トラバーサル)
CVE-2026-2404(不適切なエンコード、または出力のエスケープ)
CVE-2026-2402(過度な認証試行の不適切な制限)
CVE-2026-2405(リソースの枯渇)
CVE-2026-2403(入力で指定された数量の不適切な検証)
CVE-2026-2400(CRLF インジェクションの脆弱性)
CVE-2026-2401(ログファイルからの情報漏えい)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-190-02
アドバイザリ
Schneider Electric 社の Easergy MiCOM Px40 シリーズ にハードコードされた認証情報の使用に関する脆弱性
深刻度 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3
攻撃コード 有り
対策 有り(ファームウェア・アップグレード)
脆弱性番号 CVE-2026-4832
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-190-03

2026年7月7日公開

アドバイザリ
カナダ・ケベック州の電力会社 Hydro-Québec の 充電ステーション管理システム Le Circuit Electrique charging station backend に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 対応済み
脆弱性番号 CVE-2026-20744(不適切なアクセス制御)
CVE-2026-42952(過度な認証試行の不適切な制限)
CVE-2026-44383(不適切なセッション期限)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-01
アドバイザリ
日立エナジー の PROMOD V にHTTPSの代わりにHTTPへの依存に関する脆弱性
深刻度 基本値 7.1(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)(CVSSv3
攻撃コード 有り
対策 有り(アップグレード)
脆弱性番号 CVE-2026-10763
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-02
アドバイザリ
日立エナジー の e-mesh EMS にヒープベースのバッファオーバーフローの脆弱性 
深刻度 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2026-42945
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-03
アドバイザリ
Siemens 社の Mendix Studio Pro に コードインジェクションの脆弱性
深刻度 基本値 5.4(AV:N/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2026-48192
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-04
アドバイザリ
Siemens 社の SINEC OS に 複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2026-23112(無限ループ)他、計77個
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-05
アドバイザリ
Labcenter Electronics 社の Proteus 9 に 複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-42953(境界外書き込み)
CVE-2026-49033(スタックベースのバッファオーバーフロー)
CVE-2026-42958(解放済みメモリの使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-06
アドバイザリ
Digi International 社の PortServer TS、Digi One SP IA に 複数の脆弱性
深刻度 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-12352(境界外書き込み)
CVE-2026-12948(スタックベースのバッファオーバーフロー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-188-07

2026年7月2日公開

アドバイザリ
ST Engineering iDirect 社の ターミナル製品 iQ シリーズ に複数の脆弱性
深刻度 基本値 8.1(AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2026-38059(重要な機能に対する認証の欠如)
CVE-2026-38057(クロスサイトリクエストフォージェリ)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-183-01
アドバイザリ
CubeSpace 社の リアクションホイール CubeSpace CW0057 にデジタル署名の検証に関する脆弱性
深刻度 基本値 6.1(AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2026-13743
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-183-02
アドバイザリ
Gardyn 社の IoT ハブ に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2026-13768(ハードコードされた認証情報の使用)
CVE-2026-55726(認可されていない制御領域への重要情報の漏えい)
CVE-2026-54477(HTTPヘッダのスクリプト構文の不適切な無効化)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-183-03
アドバイザリ【更新】
三菱電機 の CNC シリーズ に入力で指定された数量の不適切な検証に関する脆弱性
2024年10月17日 CISA 公開分の更新(Update D
[更新内容] 影響を受ける製品:情報更新
深刻度 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2024-7316
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-03
アドバイザリ【更新】
Gardync 社の 水耕栽培システム Gardyn Home Kit に複数の脆弱性
2026年2月24日 CISA 公開分の更新(Update B
[更新内容] 影響を受ける製品/対策:情報更新
深刻度 基本値 9.3(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-29628(重要な情報の平文での送信)
CVE-2025-29629(デフォルトの認証情報の使用)
CVE-2025-29631(OSコマンドインジェクション)
CVE-2025-1242(ハードコードされた認証情報の使用)
CVE-2025-10681(ハードコードされた認証情報の使用)
CVE-2026-28766(重要な機能に対する認証の欠如)
CVE-2026-25197(ユーザ制御の鍵による認証回避)
CVE-2026-32646(重要な機能に対する認証の欠如)
CVE-2026-28767(OSコマンドインジェクション)
CVE-2026-32662(アクティブ状態のデバッグコード)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03
メディカルアドバイザリ【更新】
WHILL 社の 電動車椅子 Model C2 および 折畳み式コンパクト電動車椅子 Model F に重要な機能に対する認証の欠如に関する脆弱性
2025年12月30日 CISA 公開分の更新(Update B
[更新内容] 対策:情報更新
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2025-14346
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01

2026年6月30日公開

アドバイザリ
三菱電機 の MELSOFT Update Manager SW1DND-UDM-M に複数の脆弱性
深刻度 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2025-53816(ヒープベースのバッファオーバーフロー)
CVE-2025-53817(NULLポインタデリファレンス)
CVE-2025-55188(リンク解釈の問題)
CVE-2025-11001(パス・トラバーサル)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-01
アドバイザリ
オープンソースの Web ベース SCADA/HMI ソフトウェア Frangoteam FUXA にスプーフィングによる認証回避に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-13207
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-02
アドバイザリ
Schneider Electric 社の EcoStruxure IT Data Center Expert に XML 外部エンティティの脆弱性
深刻度 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-8045
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-03
アドバイザリ
Schneider Electric 社の EasyLogic T150 および Saitel DP RTU に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2026-9650(認証情報の不十分な保護)
CVE-2026-9651(重要なリソースに対する不適切なパーミッションの割り当て)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-04
アドバイザリ
B&R Industrial Automation 社の 複数製品に影響を与える オープンソースのデータ圧縮ソフトウェアおよびライブラリXZ Utils のスレッド内の競合状態に関する脆弱性 
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2025-31115
参照
アドバイザリ
StoneFly 社の Storage Concentrator に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-50110(ハードコードされた認証情報の使用)
CVE-2026-56413(OSコマンドインジェクション)
CVE-2026-56415(OSコマンドインジェクション)
CVE-2026-55721(SQLインジェクション)
CVE-2026-50040(クロスサイトスクリプティング)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-06
アドバイザリ
Delta Electronics 社の PLC DVP12SE に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダ対応中。それまではワークアラウンド(回避策)。
脆弱性番号 CVE-2026-12819(重要な機能に対する認証の欠如)
CVE-2026-12818(制限またはスロットリング無しのリソースの割り当て)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-181-07
メディカルアドバイザリ
オープンソースのライブラリおよびソフトウェア OFFIS DCMTK Toolkit に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-50003(パス・トラバーサル)
CVE-2026-50254(有効期限後のメモリの解放の欠如)
CVE-2026-35505(有効期限後のメモリの解放の欠如)
CVE-2026-52868(パス・トラバーサル)
CVE-2026-44628(型の取り違え)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-181-01

2026年6月25日公開

アドバイザリ
横河電機 の FAST/TOOLS および CI Server に重要な情報の平文での送信に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-11833
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-01
アドバイザリ
EVoke Systems 社の Charging Station Management System に複数の脆弱性
深刻度 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2026-40702(重要な機能に対する認証の欠如)
CVE-2026-50176(過度な認証試行の不適切な制限)
CVE-2026-54479(不適切なセッション期限)
CVE-2026-44622(認証情報の不十分な保護)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-02
アドバイザリ
Horner Automation 社の Cscape に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-12897
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-03
アドバイザリ
Daktronics 社の コントローラ製品のファームウェア に複数の脆弱性
深刻度 基本値 8.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2026-28701(パス・トラバーサル)
CVE-2026-33560(危険なタイプのファイルの無制限アップロード)
CVE-2026-31928(ハードコードされた認証情報の使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-04
アドバイザリ
H.VIEW 社の 防犯カメラ HV-500S6 に複数の脆弱性
深刻度 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2026-55975(OSコマンドインジェクション)
CVE-2026-56414(危険なタイプのファイルの無制限アップロード)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-05
アドバイザリ
Delta Electronics 社の DTM Soft に信頼性のないデータのデシリアライゼーションに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-12578
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-06
アドバイザリ
Schneider Electric 社の PowerLogic P7 に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2026-9716(NULLポインタデリファレンス)
CVE-2026-9717(OSコマンドインジェクション)
CVE-2026-9718(到達可能なアサーション)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-07
アドバイザリ【更新】
AzeoTech 社の DAQFactory に複数の脆弱性
2026年6月18日 CISA 公開分の更新(Update A
[更新内容] タイトル/脆弱性番号:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2026-12390(型の取り違え)
CVE-2026-12921(解放済みメモリの使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-02
メディカルアドバイザリ
pydicom 社の pynetdicom Library にパストラバーサルの脆弱性
深刻度 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダの GitHub ページ参照
脆弱性番号 CVE-2026-56445
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-176-01
メディカルアドバイザリ
Open Health Imaging Foundation (OHIF) の DICOM にサーバサイドのリクエストフォージェリの脆弱性
深刻度 基本値 8.2(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2026-12473
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-176-02

2026年6月23日公開

アドバイザリ
Siemens 社の WinCC Certificate Manager にファイル内またはディスク上の平文保存に関する脆弱性 
深刻度 基本値 7.1(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2026-24349
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-01
アドバイザリ
Siemens 社の DIGSI5 プロトコルを使用する保護継電器 SIPROTEC 5 に危険なタイプのファイルの無制限アップロードに関する脆弱性
深刻度 基本値 6.1(AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップグレード、リスク緩和策)
脆弱性番号 CVE-2025-40808
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-02
アドバイザリ
Siemens 社の OpenSSL を使用する複数の製品 に危険なタイプのファイルの無制限アップロードに関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2025-15467
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-03
アドバイザリ
Siemens 社の SINEC INS に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2026-46746(OSコマンドインジェクション)
CVE-2026-46747(パストラバーサル '/dir/../filename')
CVE-2026-46748(不要な特権による実行)
CVE-2026-46749(予測可能なソルトの一方向ハッシュの使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-04
アドバイザリ
ABB 社の Freelance Security Lock に根本の脆弱性による認証回避の脆弱性
深刻度 基本値 6.6(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-7064
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-05
アドバイザリ
B&R Industrial Automation 社の 複数の製品に Linux カーネルの脆弱性による影響
深刻度 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:H/RC:C)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2026-31431(領域間での誤ったリソース移動)
CVE-2026-43284(任意の場所に任意の値を書き込み可能な状態)
CVE-2026-46333(不適切な権限管理)
CVE-2026-46300(境界外書き込み)
CVE-2026-43494(同一のリソースまたはハンドルの重複解放)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-06
アドバイザリ
Hubbell 社の Aclara Metrum Cellular Web Interface に重要な機能に対する認証の欠如に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-1840
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-174-07
アドバイザリ【更新】
Brightpick AI 社の Brightpick Mission Control / Internal Logic Control に複数の脆弱性 
2025年11月13日 CISA 公開分の更新(Update A
[更新内容] 対策:情報更新
深刻度 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-64307(重要な機能に対する認証の欠如)
CVE-2025-64308(認証情報の保護しない転送)
CVE-2025-64309(認証情報の保護しない転送)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-04
アドバイザリ【更新】
Rockwell Automation 社の Arena に複数の脆弱性
2024年12月10日 CISA 公開分の更新(Update C
[更新内容] 脆弱性番号:情報更新
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード、リスク緩和策)
脆弱性番号 CVE-2024-11155(解放済みメモリの使用)
CVE-2024-11156(境界外書き込み)
CVE-2024-11158(不適切な初期化)
CVE-2024-12130(境界外読み取り)
CVE-2024-11157(境界外書き込み)
CVE-2024-12175(解放済みメモリの使用)
CVE-2024-12672(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2024-11364(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2025-6377(境界外書き込み)
CVE-2025-6376(境界外書き込み)
CVE-2026-6071(境界外書き込み)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-345-06
アドバイザリ【更新】
Zero Motorcycles 社の ファームウェア にエンティティ認証のない鍵交換に関する脆弱性
2026年4月21日 CISA 公開分の更新(Update A
[更新内容] 対策:情報更新
深刻度 基本値 6.4(AV:A/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2026-1354
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-111-06

2026年6月18日公開


アドバイザリ
AVer 社の カメラ製品 PTC に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号 CVE-2026-40624
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-01
アドバイザリ
AzeoTech 社の DAQFactory に型の取り違えに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2026-12390
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-02
アドバイザリ
Rockwell Automation 社の FactoryTalk Historian Site Edition に複数の脆弱性
深刻度 基本値 7.7(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-13036(競合状態)
CVE-2025-44019(例外がキャッチされない問題)
CVE-2025-36539(例外がキャッチされない問題)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-03
アドバイザリ
Schneider Electric 社の EasyLogic T150 および Saitel DP にパストラバーサルの脆弱性
深刻度 基本値 7.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2026-6865
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-04
アドバイザリ
三菱電機 の MELSEC iQ-F シリーズ に整数オーバーフローの脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2026-8805
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-05
アドバイザリ
三菱電機 の MELSEC iQ-F シリーズ FX5-ENET/IP イーサネットモジュール に予期せぬ動作に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 有り
対策 有り(リスク緩和策)
脆弱性番号 CVE-2026-8806
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-06
アドバイザリ
Schneider Electric 社の Easergy、EcoStruxture、PowerLogic、および Saitel にエントロピー不足に関する脆弱性
深刻度 基本値 8.3(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L)(CVSSv3
攻撃コード 有り
対策 有り(アップデート)
脆弱性番号 CVE-2026-4827
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-07
メディカルアドバイザリ
Apollo Pharmacy 社の 血糖値測定システム APG-01 BT に複数の脆弱性
深刻度 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号 CVE-2026-50034(重要な情報の平文での送信)
CVE-2026-52866(認証の欠如)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-169-01

2026年6月16日公開

アドバイザリ
Rockwell Automation 社の FactoryTalk Analytics PavilionX に認証の欠如に関する脆弱性
深刻度 基本値 7.0(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-14272
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-01
アドバイザリ
Rockwell Automation 社の RSLinx に境界外読み取りに関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号 CVE-2020-13573
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-02
アドバイザリ
Rockwell Automation 社の コントローラ製品 Logix 5370 & 5570 にリソースの不適切なシャットダウンおよびリリースに関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-11317
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-03
アドバイザリ
Rockwell Automation 社の CompactLogix に複数の脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2025-11694(データの整合性検証不備)
CVE-2026-9307(認可されていない制御領域への重要情報の漏えい)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-04
アドバイザリ
Rockwell Automation 社の FLEX I/Oシリーズ向け通信アダプタモジュール に複数の脆弱性
深刻度 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2026-0646(有効期限後のメモリの解放の欠如)
CVE-2026-0647(重要な機能に対する認証の欠如)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-05

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert

キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。