情報セキュリティ

CISAが公開した制御システムの脆弱性情報(直近1ヶ月)

最終更新日:2024年3月18日

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。

[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]

CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。

  • CISAが公開した脆弱性のIPAでの公開

なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。

  1. (脚注1)
    本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。

2024年3月14日公開

アドバイザリ
Siemens 社の SENTRON 7KM PAC3x20 にアクセス制御に関する脆弱性
深刻度 基本値 4.6(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 5.1(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-21483
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-01
アドバイザリ
Siemens 社の Solid Edge に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-49125
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-02
 
アドバイザリ
Siemens 社の SINEMA Remote Connect Server に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2020-23064(クロスサイトスクリプティング)
CVE-2022-32257(不適切なアクセス制御)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-03
アドバイザリ
Siemens 社の SINEMA Remote Connect Client にファイルおよびディレクトリ情報の漏えいに関する脆弱性
深刻度 基本値 7.6(AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N)(CVSSv3
基本値 6.1(AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:H/SI:L/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード、リスク緩和策)
脆弱性番号 CVE-2024-22045
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-04
アドバイザリ
Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2023-38545(ヒープベースのバッファオーバーフロー)
CVE-2023-38546(ファイル名またはパスの外部からの制御)
CVE-2023-44250(不適切な権限管理)
CVE-2023-44487(リソースの枯渇)
CVE-2023-47537(不正な証明書検証)
CVE-2024-21762(境界外書き込み)
CVE-2024-23113(書式文字列の問題)
参照
アドバイザリ
Siemens 社の SENTRON に非公開の機能に関する脆弱性
深刻度 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3
基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2024-22044
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-06
 
アドバイザリ
Siemens 社の SIMATIC に複数の脆弱性 
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2017-14491(バッファエラー)他、計157個
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-07
アドバイザリ
Siemens 社の SCALANCE XB-200/XC-200/XP-200/XF-200BA/XR-300WG ファミリ に複数の脆弱性
深刻度 基本値 4.9(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)(CVSSv3
基本値 5.1(AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 ベンダ対応中
脆弱性番号 CVE-2023-44318(ハードコードされた暗号鍵の使用)
CVE-2023-44321(リソースの枯渇)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-08
アドバイザリ
Siemens 社の Sinteso EN および Cerberus PRO EN Fire Protection Systems に複数の脆弱性
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号
CVE-2024-22039(古典的バッファオーバーフロー)
CVE-2024-22040(境界外読み取り)
CVE-2024-22041(バッファエラー)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-09
アドバイザリ
Siemens 社の Siveillance Control に不正な認証に関する脆弱性
深刻度 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)(CVSSv3
基本値 6.8(AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4)
攻撃コード 現状確認されていない
対策 有り(アップグレード、リスク緩和策)
脆弱性番号 CVE-2023-45793
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-10
アドバイザリ
Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策)
脆弱性番号 CVE-2022-39948(不正な証明書検証)他、計38個
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-11
アドバイザリ
Delta Electronics 社の DIAEnergie に複数の脆弱性
深刻度 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-28029(不適切な認可)
CVE-2024-28891(SQLインジェクション)
CVE-2024-25937(SQLインジェクション)
CVE-2024-28040(SQLインジェクション)
CVE-2024-23975(SQLインジェクション)
CVE-2024-23494(SQLインジェクション)
CVE-2024-25574(SQLインジェクション)
CVE-2024-28171(パス・トラバーサル)
CVE-2024-25567(パス・トラバーサル)
CVE-2024-28045(クロスサイトスクリプティング)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-12
 
アドバイザリ
Softing 社の edgeConnector に複数の脆弱性
深刻度 基本値 8.0(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2023-38126(パス・トラバーサル)
CVE-2024-0860 (平文での重要情報の通信)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-13
アドバイザリ
三菱電機 の MELSEC-Q/L シリーズ に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2024-0802(不適切なポインタのスケーリング)
CVE-2024-0803(整数オーバーフローまたはラップアラウンド)
CVE-2024-1915(不適切なポインタのスケーリング)
CVE-2024-1916(整数オーバーフローまたはラップアラウンド)
CVE-2024-1917(整数オーバーフローまたはラップアラウンド)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-14
アドバイザリ【更新】
三菱電機 の MELSEC iQ-F シリーズ の CPUモジュール に古典的バッファオーバーフローの脆弱性
 2023年5月23日 公開分の更新(UpdateC)
 <更新内容>
  ・影響を受ける製品:情報更新
深刻度 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート、リスク緩和策)
脆弱性番号 CVE-2023-1424
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-23-143-03

2024年3月12日公開

アドバイザリ
Schneider Electric 社の EcoStruxure Power Design に信頼性のないデータのデシリアライゼーションに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダ対応中。それまではリスク緩和策。
脆弱性番号 CVE-2024-2229
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-072-01

2024年3月7日公開

アドバイザリ
Chirp Systems 社の Chirp Access にハードコードされた認証情報の使用に関する脆弱性
深刻度 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3
攻撃コード 現状確認されていない
対策 ベンダに連絡
脆弱性番号
CVE-2024-2197
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-067-01

2024年3月5日公開

アドバイザリ
Nice 社の Linear eMerge E3-Series に複数の脆弱性
深刻度 基本値 10.0(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 有り
対策 有り(アップグレード、リスク緩和策)
脆弱性番号
CVE-2019-7253(パス・トラバーサル)
CVE-2019-7254(パス・トラバーサル)
CVE-2019-7255(クロスサイトスクリプティング)
CVE-2019-7256(OSコマンドインジェクション)
CVE-2019-7257(危険なタイプのファイルの無制限アップロード)
CVE-2019-7258(不正な認証)
CVE-2019-7259(情報漏えい)
CVE-2019-7260(認証情報の不十分な保護)
CVE-2019-7261(ハードコードされた認証情報の使用)
CVE-2019-7265(ハードコードされた認証情報の使用)
CVE-2019-7262(クロスサイトリクエストフォージェリ)
CVE-2019-7264(境界外書き込み)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-065-01

アドバイザリ【更新】
Integration Objects 社の OPC UA Server Toolkit に 不適切なログ出力の無効化に関する脆弱性
 2023年1月16日 公開分の更新(Update A)
 <更新内容>
  ・対策:情報更新
深刻度 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)(CVSSv3)
攻撃コード 現状確認されていない
対策 有り(ベンダに連絡)
脆弱性番号 CVE-2023-7234
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-016-02
メディカルアドバイザリ
Santesoft 社の Sante FFT Imaging に境界外書き込みに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
CVE-2024-1696
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-065-01

2024年2月29日公開

アドバイザリ
Delta Electronics 社の CNCSoft-B DOPSoft にスタックベースのバッファオーバーフローの脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-1941
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-060-01
メディカルアドバイザリ
MicroDicom 社の 医用画像ビューア DICOM Viewer に複数の脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号
CVE-2024-22100(ヒープベースのバッファオーバーフロー)
CVE-2024-25578(境界外書き込み)
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-060-01

2024年2月27日公開

アドバイザリ
三菱電機 の MELSEC iQ-F シリーズ に不十分なリソースプールに関する脆弱性
深刻度 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(リスク緩和策)
脆弱性番号 CVE-2023-7033
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-058-01
メディカルアドバイザリ
Santesoft 社の Sante DICOM Viewer Pro に境界外読み取りに関する脆弱性
深刻度 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号 CVE-2024-1453
参照 https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-058-01

2024年2月22日公開

アドバイザリ
Delta Electronics 社の CNCSoft-B DOPSoft に制御されていない検索パスの要素に関する脆弱性
深刻度 基本値 7.8(AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップグレード)
脆弱性番号
CVE-2024-1595
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-053-01

2024年2月20日公開

アドバイザリ
Commend 社の WS203VICM に複数の脆弱性
深刻度 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(ファームウェア・アップデート)
脆弱性番号
CVE-2024-22182(引数の挿入または変更)
CVE-2024-21767(不適切なアクセス制御)
CVE-2024-23492(パスワードの弱い暗号の使用)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-01
アドバイザリ
Industrial Control Systems Network Protocol Parsers (ICSNPP) の Ethercat Zeek Plugin に複数の脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート)
脆弱性番号
CVE-2023-7244(境界外書き込み)
CVE-2023-7243(境界外書き込み)
CVE-2023-7242(境界外読み取り)
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-02
アドバイザリ
三菱電機 の 放電加工機(EDM) に入力確認に関する脆弱性
深刻度 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3
攻撃コード 現状確認されていない
対策 有り(アップデート、リスク緩和策)
脆弱性番号 CVE-2023-21554
参照 https://www.cisa.gov/news-events/ics-advisories/icsa-24-051-03

CISA公開脆弱性情報のJVN iPediaでの検索

CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。

■特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」

■CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
 (検索例:2017年のICSMAアドバイザリ
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
 (検索例:2017年のICSAアドバイザリ
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
 (検索例:過去のICS Alert

■キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」

必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。

IPAにおける制御システムのセキュリティへの取組み

 IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。

お問い合わせ先

IPA セキュリティ センター(IPA/ISEC)

  • E-mail

    isec-icsアットマークipa.go.jp

CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。