HOME情報セキュリティICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

本文を印刷する

情報セキュリティ

ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)

最終更新日:2021年3月1日

 このページでは、米国土安全保障省(DHS)Cybersecurity and Infrastructure Agency(CISA)の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っている ICS-CERT が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(*1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

 ICS-CERTが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開しています。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのICS-CERT公開脆弱性情報の検索方法については、こちら を参照ください)。



 なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

2021年2月25日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
PerFact 社の OpenVPN-Client
にシステムまたは設定の外部制御に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-27406
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-056-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Fatek 社の FvDesigner に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ベンダにて対応中
【脆弱性番号】CVE-2021-22662(解放済みメモリの使用)
       CVE-2021-22670(初期化されていないポインタへのアクセス)
       CVE-2021-22666(スタックベースのバッファオーバーフロー)
       CVE-2021-22683(境界外書き込み)
       CVE-2021-22638(境界外読み取り
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-056-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の Logix Controllers
に認証情報の不十分な保護に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2021-22681
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-056-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
ProSoft Technology 社の ICX35に認可・権限・アクセス制御に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.2(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-22661
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-056-04

2021年2月23日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の FactoryTalk サービスプラットフォーム
に強度が不十分なパスワードハッシュの使用に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-14516
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-054-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Advantech 社の 産業用PoE+Ethernetスイッチ BB-ESWGP506-2SFP-T
にハードコードされた認証情報の使用に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(EKI-7708-4FPI等後継モデルへのリプレース)
【脆弱性番号】CVE-2021-22667
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-054-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Advantech 社の 産業用ルータ製品 Spectre RT に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2019-18233(クロスサイトスクリプティング)
       CVE-2019-18231(平文での重要情報の通信)
       CVE-2019-18235(認証試行回数の不適切な制限)
       CVE-2018-20679(危殆化した、またはリスクの高い暗号アルゴリズムの使用)
       CVE-2016-6301(危殆化した、またはリスクの高い暗号アルゴリズムの使用)
       CVE-2015-9261(危殆化した、またはリスクの高い暗号アルゴリズムの使用)
       CVE-2016-2842(プラットフォームに依存するサードパーティ製
                コンポーネントの使用)
       CVE-2016-0799(プラットフォームに依存するサードパーティ製
                コンポーネントの使用)
       CVE-2016-6304(プラットフォームに依存するサードパーティ製
                コンポーネントの使用)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-054-03

2021年2月18日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Johnson Controls 社の Metasys Reporting Engine (MRE) Web Services
にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2020-9050
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-049-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
三菱電機 の 複数のFAエンジニアリングソフトウェア製品 に複数の脆弱性 (2/18)
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2021-20587(ヒープベースのバッファオーバーフロー)
       CVE-2021-20588(長さのパラメータの不適切な処理)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-049-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
複数の TCP/IPスタック に不十分なランダム値の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/2/11 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2020-27213
       CVE-2020-27630
       CVE-2020-27631
       CVE-2020-27632
       CVE-2020-27633
       CVE-2020-27634
       CVE-2020-27635
       CVE-2020-27636
       CVE-2020-28388
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-042-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Schneider Electric 社の EcoStruxure Power Build-Rapsody
に危険なタイプのファイルの無制限アップロードに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/1/12 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ベンダ対応予定。それまではリスク緩和策)
【脆弱性番号】CVE-2021-22697
       CVE-2021-22698
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-012-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
三菱電機 の MELSEC iQ-R シリーズ にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/10/8 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(一部製品についてはパッチ適用、その他製品はパッチ提供予定)
【脆弱性番号】CVE-2020-16850
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-20-282-02

2021年2月16日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Open Design Alliance 社の 製図用ソフトウェア開発キット Drawings SDK に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-25178(スタックベースのバッファオーバーフロー)
       CVE-2021-25177(型の取り違え)
       CVE-2021-25176(信頼性のないポインタデリファレンス)
       CVE-2021-25175(不正な型変換またはキャスト)
       CVE-2021-25174(制御されていないメモリ割り当て)
       CVE-2021-25173(制御されていないメモリ割り当て)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-047-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の Allen-Bradley MicroLogix 1100
に長さのパラメータの不適切な処理に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(MicroLogix 1400へのリプレースまたはリスク緩和策)
【脆弱性番号】CVE-2020-6111
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-047-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
M&M Software 社の fdtCONTAINER
に信頼性のないデータのデシリアライゼーションに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/1/21 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-12525
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-021-05

---------------------------------------------------------------------------------------------
[メディカルアドバイザリ]
Hamilton Medical 社の 人工呼吸器 Hamilton-T1 に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 4.3(AV:P/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-27278(ハードコードされた認証情報の使用)
       CVE-2020-27282(XML検証の欠如)
       CVE-2020-27290(情報漏えい)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsma-21-047-01

2021年2月11日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
複数の TCP/IPスタック に不十分なランダム値の使用に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、リスク緩和策)
【脆弱性番号】CVE-2020-27213
       CVE-2020-27630
       CVE-2020-27631
       CVE-2020-27632
       CVE-2020-27633
       CVE-2020-27634
       CVE-2020-27635
       CVE-2020-27636
       CVE-2020-28388
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-042-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の DriveTools SP および Drives AOP
に制御されていない検索パスの要素に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.5(AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2021-22665
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-042-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Wibu-Systems 社の CodeMeter に複数の脆弱性
---------------------------------------------------------------------------------------------
※2020/9/8 ICS-CERT 公開分の更新(Update E)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2020-14509(不適切な長さの値によるバッファへのアクセス)
       CVE-2020-14517(不適切な暗号強度)
       CVE-2020-14519(同一生成元ポリシー違反)
       CVE-2020-14513(不適切な入力確認)
       CVE-2020-14515(デジタル署名の不適切な検証)
       CVE-2020-16233(リソースの不適切なシャットダウンおよびリリース)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01

2021年2月9日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
GE Digital 社の HMI/SCADA ソフトウェア iFIX
に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.1(AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2019-18243
       CVE-2019-18255
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Advantech 社の 機器管理ソフトウェア iView に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-22654(SQLインジェクション)
       CVE-2021-22658(SQLインジェクション)
       CVE-2021-22656(パス・トラバーサル)
       CVE-2021-22652(重要な機能に対する認証の欠如)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SINEMA Server および SINEC NMS にパストラバーサルの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-25237
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-03

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の RUGGEDCOM ROX II に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2018-12404(不適切な入力確認)
       CVE-2018-18508(NULLポインタデリファレンス)
       CVE-2019-11745(境界外書き込み)
       CVE-2019-17006(データの信頼性についての不十分な検証)
       CVE-2019-17007(不正な証明書検証)
       CVE-2020-1763(境界外読み取り)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-04

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の TIA Portal および PCS neo にアクセス制御に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-25238
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-05

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 3Dビジュアライゼーションツール JT2Go および
Teamcenter Visualization に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-26998(境界外読み取り)
       CVE-2020-26999(境界外読み取り)
       CVE-2020-27000(バッファエラー)
       CVE-2020-27001(スタックベースのバッファオーバーフロー)
       CVE-2020-27002(境界外読み取り)
       CVE-2020-27003(信頼性のないポインタデリファレンス)
       CVE-2020-27004(境界外読み取り)
       CVE-2020-27005(境界外書き込み)
       CVE-2020-27006(バッファエラー)
       CVE-2020-27007(境界外読み取り)
       CVE-2020-27008(境界外読み取り)
       CVE-2020-28394(境界外読み取り)
       CVE-2020-26989(スタックベースのバッファオーバーフロー)
       CVE-2020-26990(型の取り違え)
       CVE-2020-26991(信頼性のないポインタデリファレンス)
       CVE-2021-25178(スタックベースのバッファオーバーフロー)
       CVE-2021-25177(型の取り違え)
       CVE-2021-25176(信頼性のないポインタデリファレンス)
       CVE-2021-25175(不正な型変換またはキャスト)
       CVE-2021-25174(バッファエラー)
       CVE-2021-25173(制御されていないメモリ割り当て)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-06

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SCALANCE W780 および W740
に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 4.3(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-25666
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-07

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の ソフトウェア SIMARIS configuration
に不適切なデフォルトパーミッションに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 4.4(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-28392
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-08

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC WinCC および PCS 7
に代替パスまたはチャネルを使用した認証回避に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 6.2(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-10048
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-09

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の エンジニアリングツール DIGSI 4
に不適切なデフォルトパーミッションに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-25245
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-040-10

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE X
にハードコードされた暗号鍵の使用に関する脆弱性
---------------------------------------------------------------------------------------------
※2021/1/12 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(SCALANCE X-200IRT)

【深 刻 度】基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-28391
       CVE-2020-28395
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-012-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 3Dビジュアライゼーションツール JT2Go
および Teamcenter Visualization に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/1/12 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-26980(型の取り違え)
       CVE-2020-26981(XML外部エンティティ参照の不適切な制限)
       CVE-2020-26982(境界外書き込み)
       CVE-2020-26983(境界外書き込み)
       CVE-2020-26984(境界外書き込み)
       CVE-2020-26985(ヒープベースのバッファオーバーフロー)
       CVE-2020-26986(ヒープベースのバッファオーバーフロー)
       CVE-2020-26987(ヒープベースのバッファオーバーフロー)
       CVE-2020-26988(境界外書き込み)
       CVE-2020-26989(スタックベースのバッファオーバーフロー)
       CVE-2020-26990(型の取り違え)
       CVE-2020-26991(信頼性のないポインタデリファレンス)
       CVE-2020-26992(スタックベースのバッファオーバーフロー)
       CVE-2020-26993(スタックベースのバッファオーバーフロー)
       CVE-2020-26994(ヒープベースのバッファオーバーフロー)
       CVE-2020-26995(境界外書き込み)
       CVE-2020-26996(境界外読み取り)
       CVE-2020-28383(境界外書き込み)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-012-03

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 産業用イーサネットスイッチ SCALANCE X に複数の脆弱性
---------------------------------------------------------------------------------------------
※2021/1/12 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-15799(重要な機能に対する認証の欠如)
       CVE-2020-15800(ヒープベースのバッファオーバーフロー)
       CVE-2020-25226(ヒープベースのバッファオーバーフロー)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-012-05

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SENTRON PAC3200、SENTRON PAC4200、および SIRIUS 3RW5
に整数オーバーフローの脆弱性 (AMNESIA:33)
---------------------------------------------------------------------------------------------
※2020/12/8 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード)
【脆弱性番号】CVE-2020-13988
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-20-343-05

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 複数製品 に情報漏えいに関する脆弱性
---------------------------------------------------------------------------------------------
※2020/9/8 ICS-CERT 公開分の更新(Update C)
 <更新内容>
  ・影響を受ける製品、対策:情報更新

【深 刻 度】基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2020-0543
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-20-252-07

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の UMC Stack に複数の脆弱性
---------------------------------------------------------------------------------------------
※2020/7/14 ICS-CERT 公開分の更新(Update E)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップグレード、ワークアラウンド(回避策)及びリスク緩和策)
【脆弱性番号】CVE-2020-7581(引用されない検索パスまたは要素)
       CVE-2020-7587(リソースの枯渇)
       CVE-2020-7588(不適切な入力確認)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-20-196-05

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の DDCコントローラ Climatix に複数の脆弱性
---------------------------------------------------------------------------------------------
※2020/4/14 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(Climatix POL909)

【深 刻 度】基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-7574(クロスサイトスクリプティング)
       CVE-2020-7575(クロスサイトスクリプティング (Basic XSS))
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-105-04

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE および SIMATIC にリソースの枯渇に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/4/14 ICS-CERT 公開分の更新(Update D)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(SCALANCE X-200IRT)

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2019-19301
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-105-07

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の産業用制御製品に SNMP に関する複数の脆弱性
---------------------------------------------------------------------------------------------
※2020/2/11 ICS-CERT 公開分の更新(Update C)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(SIMATIC CP 1626)

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】一部製品には有り(アップデート)
       その他製品はパッチ提供までワークアラウンド(回避策)・リスク緩和策
【脆弱性番号】CVE-2015-5621(データ処理)
       CVE-2018-18065(NULLポインタデリファレンス)
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-042-02

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の 産業用イーサネットスイッチ SCALANCE X
に保護メカニズムの不具合に関する脆弱性
---------------------------------------------------------------------------------------------
※2020/2/11 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(SCALANCE X-200IRT)

【深 刻 度】基本値 4.2(AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:L)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびワークアラウンド(回避策)・リスク緩和策)
【脆弱性番号】CVE-2019-13924
【参   照】https://www.us-cert.gov/ics/advisories/icsa-20-042-07

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の 複数のIRT通信機器に入力確認に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/10/10 ICS-CERT 公開分の更新(Update E)
 <更新内容>
  ・影響を受ける製品:情報更新(SIMATIC ET200ecoPN)

【深 刻 度】基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデートおよびリスク緩和策)
【脆弱性番号】CVE-2019-10923
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-283-01

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE X Switches に不十分なリソースプールに関する脆弱性
---------------------------------------------------------------------------------------------
※2019/8/13 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(SCALANCE X-200IRT)

【深 刻 度】基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2019-10942
【参   照】https://www.us-cert.gov/ics/advisories/icsa-19-225-03

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
Siemens 社の SCALANCE X に復元可能な形式でのパスワード保存に関する脆弱性
---------------------------------------------------------------------------------------------
※2019/6/11 ICS-CERT 公開分の更新(Update B)
 <更新内容>
  ・影響を受ける製品/対策:情報更新(SCALANCE X-200IRT)

【深 刻 度】基本値 7.1(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】ワークアラウンド(回避策)およびリスク緩和策
【脆弱性番号】CVE-2019-6567
【参   照】https://ics-cert.us-cert.gov/advisories/ICSA-19-162-04

2021年2月4日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Luxion 社の 3Dレンダリング・アニメーションソフトウエア KeyShot
に複数の脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-22647(境界外書き込み)
       CVE-2021-22643(境界外読み取り)
       CVE-2021-22645(危険な操作に対する不十分な警告)
       CVE-2021-22649(信頼性のないポインタデリファレンス)
       CVE-2021-22651(パス・トラバーサル)
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-035-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Horner Automation 社の プログラミングソフトウェア Cscape
に境界外読み取りに関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2021-22663
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-035-02

---------------------------------------------------------------------------------------------
[アドバイザリ]◆更新◆
M&M Software 社の fdtCONTAINER
に信頼性のないデータのデシリアライゼーションに関する脆弱性
---------------------------------------------------------------------------------------------
※2021/1/21 ICS-CERT 公開分の更新(Update A)
 <更新内容>
  ・影響を受ける製品/対策:情報更新

【深 刻 度】基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート)
【脆弱性番号】CVE-2020-12525
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-021-05

2021年2月2日公開

---------------------------------------------------------------------------------------------
[アドバイザリ]
Rockwell Automation 社の MicroLogix 1400 に古典的バッファオーバーフローの脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(リスク緩和策)
【脆弱性番号】CVE-2021-22659
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-033-01

---------------------------------------------------------------------------------------------
[アドバイザリ]
Siemens 社の SIMATIC HMIコンフォートパネル および KTPモバイルパネル
に重要な機能に対する認証の欠如に関する脆弱性
---------------------------------------------------------------------------------------------

【深 刻 度】基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
【攻撃コード】現状確認されていない
【対   策】有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
【脆弱性番号】CVE-2020-15798
【参   照】https://us-cert.cisa.gov/ics/advisories/icsa-21-033-02

脚注

 (*1)
 本ページに掲載しているのは、ICS-CERTが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。
 Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

ICS-CERT公開脆弱性情報のJVN iPediaでの検索

ICS-CERT公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

特定のベンダ、または製品の脆弱性情報を検索したい場合

「ベンダ名」「製品」を指定 → 「検索」

ICS-CERT公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合

  • 医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 → 「検索」
    (検索例:2017年のICSMAアドバイザリ
  • その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 → 「検索」
    (検索例:2017年のICSAアドバイザリ
  • 注意喚起:「キーワード」に「ICS-ALERT」と入力 → 「検索」
    (検索例:過去のICS Alert

キーワードで検索したい場合

「キーワード」にキーワードを入力 → 「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、こちら を参照ください。

本ページに関するお問い合わせ先

IPA セキュリティ センター(IPA/ISEC)
E-mail:

※ICS-CERTが公開した脆弱性情報の内容に関しては、ICS-CERT、またはベンダにお問い合わせください。