English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2025年4月28日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2025年4月24日公開
| Schneider Electric 社の PLC製品 Modicon に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3)
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2018-7846(信頼境界線の違反)
CVE-2018-7842(スプーフィングによる認証回避)
CVE-2018-7847(不適切なアクセス制御)
CVE-2018-7850(セキュリティ判断における信頼性のない入力への依存)
CVE-2018-7845(境界外読み取り)
CVE-2018-7848、CVE-2018-7844(情報漏えい)
CVE-2018-7849、CVE-2018-7843、CVE-2018-7852、CVE-2018-7853、
CVE-2018-7854、CVE-2018-7855、CVE-2018-7856、CVE-2018-7857、 CVE-2019-6806、CVE-2019-6807、CVE-2019-6808、CVE-2019-6830、 CVE-2019-6828、CVE-2019-6829、CVE-2019-6809(例外がキャッチされない問題) |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-01 |
| ALBEDO Telecom 社の Net.Time PTP/NTP clock にセッション期限に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.0(AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-2185 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-02 |
| Vestel 社の AC Charger にセッション期限に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-3606 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-03 |
| Nice 社の Linear eMerge E3 に OS コマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2024-9441 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-04 |
| Johnson Controls 社の ICU にスタックベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-26382 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-05 |
| Planet Technology 社の PLC製品 Modicon に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ) |
| 脆弱性番号 | CVE-2025-46271(OSコマンドインジェクション)
CVE-2025-46272(OSコマンドインジェクション)
CVE-2025-46273(ハードコードされた認証情報の使用)
CVE-2025-46274(ハードコードされた認証情報の使用)
CVE-2025-46275(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-114-06 |
|
富士電機 の Monitouch V-SFT に境界外書き込みに関する脆弱性
2024年12月3日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品、対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-11787、CVE-2024-11789、CVE-2024-11790、CVE-2024-11791、
CVE-2024-11792、CVE-2024-11793、CVE-2024-11794、CVE-2024-11795、
CVE-2024-11796、CVE-2024-11797
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-05 |
2025年4月22日公開
| Siemens 社の TeleControl Server Basic に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-27495(SQLインジェクション)他、計67個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-01 |
|
Siemens 社の TeleControl Server Basic に長さのパラメータの不適切な処理に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 3.7(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 6.3(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-29931 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-02 |
|
Schneider Electric 社の Wiser Home Controller WHC-5918A に情報漏えいに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 生産・サポート終了のため無し。新製品へのアップグレード推奨。 |
| 脆弱性番号 | CVE-2024-6407 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-03 |
| ABB 社の 高圧ACドライブ ACS5000/ACS6080/ACS6000 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-4046(バッファエラー)
CVE-2023-37550(不適切な入力確認)
CVE-2023-37549(不適切な入力確認)
CVE-2023-37548(不適切な入力確認)
CVE-2023-37547(不適切な入力確認)
CVE-2023-37546(不適切な入力確認)
CVE-2023-37545(不適切な入力確認)
CVE-2023-37556(不適切な入力確認)
CVE-2023-37555(不適切な入力確認)
CVE-2023-37554(不適切な入力確認)
CVE-2023-37553(不適切な入力確認)
CVE-2023-37552(不適切な入力確認)
CVE-2023-37557(境界外書き込み)
CVE-2023-37559(不適切な入力確認)
CVE-2023-37558(不適切な入力確認)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-112-04 |
|
Schneider Electric 社の Modicon M580 PLCs、BMENOR2200H、および EVLink Pro AC にバッファサイズの計算の誤りに関する脆弱性
2025年2月4日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品、対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-11425 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-04 |
2025年4月17日公開
| Schneider Electric 社の Trio Q Licensed Data Radio に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 5.4(AV:P/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2440(重要情報のセキュアでない保存)
CVE-2025-2441(リソースの安全ではないデフォルト値への初期化)
CVE-2025-2442(リソースの安全ではないデフォルト値への初期化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-107-01 |
| Schneider Electric 社の Sage シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-37036(境界外書き込み)
CVE-2024-37037(パス・トラバーサル)
CVE-2024-37038(不適切なデフォルトパーミッション)
CVE-2024-37039(未チェックの戻り値)
CVE-2024-37040(古典的バッファオーバーフロー)
CVE-2024-5560(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-107-02 |
| Schneider Electric 社の ConneXium Network Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2222(外部からアクセス可能なファイルまたはディレクトリ)
CVE-2025-2223(不適切な入力確認)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-107-03 |
| 横河電機 の 複数の製品 に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-1863 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-107-04 |
|
Schneider Electric 社の Modicon M340/MC80 および Momentum Unity M1E
に複数の脆弱性
2024年11月21日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.2(AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-8936(不適切な入力確認)
CVE-2024-8937(バッファエラー)
CVE-2024-8938(バッファエラー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-04 |
|
Schneider Electric 社の Modicon M580 および Modicon Quantum の通信モジュール
に境界外書き込みに関する脆弱性
2025年2月27日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2021-29999 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-058-01 |
2025年4月15日公開
|
Siemens 社の Mendix Runtime にリクエストに対するレスポンス内容の違いに起因する情報漏えいに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)(CVSSv3)
基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-30280 |
| 参照 | |
| Siemens 社の Industrial Edge Device Kit に脆弱な認証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-54092 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-02 |
| Siemens 社の SIMOCODE、SIMATIC、SIPLUS、SIDOOR、および SIWAREX にリソースの枯渇に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-23814 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-03 |
|
Growatt 社の クラウドアプリケーション に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-30511(クロスサイトスクリプティング)他、計30個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-04 |
| Lantronix 社の Xport に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-2567 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-05 |
| National Instruments 社の LabVIEW に境界外書き込みに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 7.1(AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ) |
| 脆弱性番号 | CVE-2025-2631、CVE-2025-2632 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-06 |
| Delta Electronics 社の COMMGR に暗号の脆弱な PRNG の使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | バージョン1はサポート終了のため、予防策を推奨。バージョン2は修正をリリース予定。 |
| 脆弱性番号 | CVE-2025-3495 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-07 |
| ABB 社の M2M Gateway に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2022-23521(整数オーバーフローまたはラップアラウンド)他、計42個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-08 |
| 三菱電機ヨーロッパ の smartRTU に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-3232(重要な機能に対する認証の欠如)
CVE-2025-3128(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-105-09 |
2025年4月10日公開
| Siemens 社の License Server に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.7(AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 5.4(AV:L/AC:H/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-29999(不適切な権限管理)
CVE-2025-30000(不正な証明書検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-01 |
| Siemens 社の SIDIS Prime に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.7(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 9.1(AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2022-21658(リンク追従を可能にする競合状態)
CVE-2023-2975(データの整合性検証不備)
CVE-2023-3446(チェックされていないループ条件の入力値)
CVE-2023-4807(予期せぬ動作)
CVE-2023-5363(指定された機能の不適切な提供)
CVE-2023-5678(チェックされていないループ条件の入力値)
CVE-2023-7104(ヒープベースのバッファオーバーフロー)
CVE-2024-0056(重要な情報の平文での送信)
CVE-2024-0232(解放済みメモリの使用)
CVE-2024-0727(NULLポインタデリファレンス)
CVE-2024-5535(情報漏えい)
CVE-2024-9143(境界外書き込み)
CVE-2024-21319(不適切な入力確認)
CVE-2024-30105(リソースの枯渇)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-02 |
| Siemens 社の Solid Edge に境界外書き込みに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-54091 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-03 |
| Siemens 社の 産業用エッジデバイス に脆弱な認証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-54092 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-04 |
| Siemens 社の Insights Hub Private Cloud に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | カスタマーサポートに連絡 |
| 脆弱性番号 | CVE-2025-1097(不適切な入力確認)
CVE-2025-1098(不適切な入力確認)
CVE-2025-1974(不適切な隔離または分類)
CVE-2025-24513(不適切な入力確認)
CVE-2025-24514(不適切な入力確認)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-05 |
| Siemens 社の SENTRON 7KT PAC1260 Data Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3)
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-41788(OSコマンドインジェクション)
CVE-2024-41789(OSコマンドインジェクション)
CVE-2024-41790(OSコマンドインジェクション)
CVE-2024-41791(重要な機能に対する認証の欠如)
CVE-2024-41792(パス・トラバーサル)
CVE-2024-41793(重要な機能に対する認証の欠如)
CVE-2024-41794(ハードコードされた認証情報の使用)
CVE-2024-41795(クロスサイトリクエストフォージェリ)
CVE-2024-41796(未検証のパスワードの変更)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-06 |
| Rockwell Automation 社の Arena に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-2285(初期化されていない変数の使用)
CVE-2025-2286(初期化されていない変数の使用)
CVE-2025-2287(初期化されていない変数の使用)
CVE-2025-2288(境界外書き込み)
CVE-2025-2293(境界外書き込み)
CVE-2025-2829(境界外書き込み)
CVE-2025-3285(境界外読み取り)
CVE-2025-3286(境界外読み取り)
CVE-2025-3287(境界外読み取り)
CVE-2025-3288(境界外読み取り)
CVE-2025-3289(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-07 |
| Subnet Solutions 社の PowerSYSTEM Center (PSC) 2020 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.2(AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3)
基本値 6.9(AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-31354(境界外読み取り)
CVE-2025-31935(信頼性のないデータのデシリアライゼーション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-08 |
| ABB 社の Arctic Wireless Gateways に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 9.2(AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2023-47610(古典的バッファオーバーフロー)
CVE-2023-47611(不適切な権限管理)
CVE-2023-47612(情報漏えい)
CVE-2023-47613(パス・トラバーサル)
CVE-2023-47614(情報漏えい)
CVE-2023-47615(情報漏えい)
CVE-2023-47616(情報漏えい)
CVE-2024-6387(競合状態)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-100-09 |
|
INFINITT Healthcare 社の INFINITT PACS に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3)
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 有り |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2025-27714(危険なタイプのファイルの無制限アップロード)
CVE-2025-24489(危険なタイプのファイルの無制限アップロード)
CVE-2025-27721(認可されていない制御領域への重要情報の漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-100-01 |
2025年4月3日公開
| 日立エナジー の RTU500 シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3)
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-10037(NULLポインタデリファレンス)
CVE-2024-11499(NULLポインタデリファレンス)
CVE-2024-12169(不十分なリソースプール)
CVE-2025-1445(同期の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-01 |
|
日立エナジー のTRMTracker に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-27631(LDAPインジェクション)
CVE-2025-27632(インジェクション)
CVE-2025-27633(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-02 |
| ABB 社の CODESYS Runtime を含む AC880 ドライブモジュール に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-37559、CVE-2023-37558、CVE-2023-37556、CVE-2023-37555、 CVE-2023-37554、CVE-2023-37553、CVE-2023-37552、CVE-2023-37550、 CVE-2023-37549、CVE-2023-37548、CVE-2023-37547、CVE-2023-37546、 CVE-2023-37545(不適切な入力確認)
CVE-2023-37557(境界外書き込み)
CVE-2022-4046(バッファエラー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-03 |
|
ABB 社の CODESYS Runtime を含む 低圧DCドライブ および 電源管理製品 に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-37559、CVE-2023-37558、CVE-2023-37556、CVE-2023-37555、 CVE-2023-37554、CVE-2023-37553、CVE-2023-37552、CVE-2023-37550、 CVE-2023-37549、CVE-2023-37548、CVE-2023-37547、CVE-2023-37546、 CVE-2023-37545(不適切な入力確認)
CVE-2023-37557(境界外書き込み)
CVE-2022-4046(バッファエラー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-04 |
| B&R 社の APROL に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 9.2(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、アップグレード、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-45482(信頼性のない制御領域からの機能の組み込み)
CVE-2024-45481(特殊要素の不完全なフィルタリング)
CVE-2024-45480(コード・インジェクション)
CVE-2024-8315(権限管理不備)
CVE-2024-45484(制限またはスロットリング無しのリソースの割り当て)
CVE-2024-45483(重要な機能に対する認証の欠如)
CVE-2024-8313(認可されていない制御領域への重要情報の漏えい)
CVE-2024-8314(誤ったセッションへのデータ要素の漏えい)
CVE-2024-10206(サーバーサイドのリクエストフォージェリ)
CVE-2024-10207(サーバーサイドのリクエストフォージェリ)
CVE-2024-10208(クロスサイトスクリプティング)
CVE-2024-10210(ファイル名やパス名の外部制御)
CVE-2024-10209(重要なリソースに対する不適切なパーミッションの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-093-05 |
2025年4月1日公開
|
Rockwell Automation 社の Veeam バックアップおよびレプリケーションを使用したライフサイクル サービス に信頼性のないデータのデシリアライゼーションに関する脆弱性 |
|
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3)
基本値 9.4(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 影響を受けるユーザにはベンダから連絡する予定。 |
| 脆弱性番号 | CVE-2025-23120 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-091-01 |
|
日立エナジー の MicroSCADA Pro/X SYS600 に複数の脆弱性
2024年11月26日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-4872(データクエリロジックの特殊要素の不適切な中立化)
CVE-2024-3980(パス・トラバーサル)
CVE-2024-3982(キャプチャリプレイによる認証回避)
CVE-2024-7940(重要な機能に対する認証の欠如)
CVE-2024-7941(オープンリダイレクト)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-331-04 |
2025年3月27日公開
|
Schneider Electric 社の EcoStruxure Power Monitoring Expert (PME) に信頼性のないデータのデシリアライゼーションに関する脆弱性
2025年2月6日 CISA 公開分の更新(Update A)
[更新内容] 深刻度:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3)
基本値 7.3(AV:N/AC:H/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
|
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ホットフィックス、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-9005 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-01 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。