English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年2月2日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2026年1月29日公開
|
KiloView 社の Encoder Series に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-1453 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-01 |
| Rockwell Automation 社の ArmorStart LT にリソースの枯渇に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-9464、CVE-2025-9465、CVE-2025-9466、CVE-2025-9278、CVE-2025-9279、CVE-2025-9280、CVE-2025-9281、CVE-2025-9282、CVE-2025-9283 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-02 |
| Rockwell Automation 社の ControlLogix にリソースの枯渇に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-14027 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-029-03 |
| BrightSign 社の Brightsign Players に複数の脆弱性
2025年5月6日 CISA 公開分の更新(Update A)
[更新内容]深刻度/脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.4(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-3925(重要な機能に対する認証の欠如)
CVE-2024-7322(過度な認証試行の不適切な制限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-126-03 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update D)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
|
三菱電機 の CNC シリーズ に制御されていない検索パスの要素に関する脆弱性
2025年7月24日 CISA 公開分の更新(Update B)
[更新内容] 再掲載
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2016-2542 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-01 |
2026年1月27日公開
|
iba Systems 社の ibaPDA に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14988 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-01 |
| Festo Didactic SE 社の MES PC に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2019-11036(バッファオーバーリード)他、計139個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-02 |
| Schneider Electric 社の Zigbee 製品 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2024-6350(古典的バッファオーバーフロー)
CVE-2024-6351(古典的バッファオーバーフロー)
CVE-2024-6352(古典的バッファオーバーフロー)
CVE-2024-10106(古典的バッファオーバーフロー)
CVE-2024-7322(リソースの枯渇)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-03 |
| Johnson Controls 社の 複数の製品 にコマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-26385 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-04 |
2026年1月22日公開
|
Schneider Electric 社の EcoStruxure Process Expert に不適切なデフォルトパーミッションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-13905 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-01 |
| AutomationDirect 社の プログラマブルロジックコントローラ CLICK に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.1(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-67652(パスワードの弱い暗号の使用)
CVE-2025-25051(認証情報の平文保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-02 |
|
Rockwell Automation 社の CompactLogix 5370 に入力で指定された数量の不適切な検証に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-11743 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-03 |
|
Johnson Controls 社の iSTAR Configuration Utility (ICU) tool にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-26386 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-04 |
| Weintek 社の cMT X Series HMI EasyWeb Service に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14750(不変と仮定される Web パラメータの外部制御)
CVE-2025-14751(未検証のパスワードの変更)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-05 |
|
Hubitat 社の ホームオートメーションハブ Elevation にユーザ制御の鍵による認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート) |
| 脆弱性番号 | CVE-2026-1201 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-06 |
| Delta Electronics 社の DIAView にコマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-0975 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-07 |
| 電気自動車充電ステーションマップアプリ EVMAPA に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-54816(重要な機能に対する認証の欠如)
CVE-2025-53968(過度な認証試行の不適切な制限)
CVE-2025-55705(不適切なセッション期限)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-08 |
|
Axis Communications 社の Camera Station Pro、Camera Station、および Device Manager に複数の脆弱性
2025年12月18日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.0(AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-30023(パス・トラバーサル)
CVE-2025-30024(危険なタイプのファイルの無制限アップロード)
CVE-2025-30025(絶対パストラバーサル)
CVE-2025-30026(SQLインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-08 |
|
日立エナジー の Relion 670/650 および SAM600-IO に例外的な状態のチェックに関する脆弱性
2025年7月3日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-1718 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-01 |
2026年1月20日公開
| Schneider Electric 社の EcoStruxure Foxboro DCS に情報漏えいに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2018-12130 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-01 |
| Schneider Electric 社の CODESYS Runtime を組み込んだ製品 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-4046(バッファエラー)
CVE-2023-28355(データの整合性検証不備)
CVE-2022-47378(入力の一貫性の不適切な検証)
CVE-2022-47379(境界外書き込み)
CVE-2022-47380(スタックベースのバッファオーバーフロー)
CVE-2022-47381(スタックベースのバッファオーバーフロー)
CVE-2022-47382(スタックベースのバッファオーバーフロー)
CVE-2022-47383(スタックベースのバッファオーバーフロー)
CVE-2022-47384(スタックベースのバッファオーバーフロー)
CVE-2022-47386(スタックベースのバッファオーバーフロー)
CVE-2022-47387(スタックベースのバッファオーバーフロー)
CVE-2022-47388(スタックベースのバッファオーバーフロー)
CVE-2022-47389(スタックベースのバッファオーバーフロー)
CVE-2022-47390(スタックベースのバッファオーバーフロー)
CVE-2022-47385(スタックベースのバッファオーバーフロー)
CVE-2022-47392(入力の一貫性の不適切な検証)
CVE-2022-47393(信頼性のないポインタデリファレンス)
CVE-2022-47391(入力の一貫性の不適切な検証)
CVE-2023-37545(不適切な入力確認)
CVE-2023-37546(不適切な入力確認)
CVE-2023-37547(不適切な入力確認)
CVE-2023-37548(不適切な入力確認)
CVE-2023-37549(不適切な入力確認)
CVE-2023-37550(不適切な入力確認)
CVE-2023-37551(外部からアクセス可能なファイルまたはディレクトリ)
CVE-2023-37552(不適切な入力確認)
CVE-2023-37553(不適切な入力確認)
CVE-2023-37554(不適切な入力確認)
CVE-2023-37555(不適切な入力確認)
CVE-2023-37556(不適切な入力確認)
CVE-2023-37557(境界外書き込み)
CVE-2023-37558(不適切な入力確認)
CVE-2023-37559(不適切な入力確認)
CVE-2023-3662(制御されていない検索パスの要素)
CVE-2023-3663(通信チャネルで送信中のメッセージの整合性への不適切な強制)
CVE-2023-3669(過度な認証試行の不適切な制限)
CVE-2023-3670(誤った領域へのリソースの漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-02 |
| Rockwell Automation 社の Verve Asset Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.9(AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14376(重要情報のセキュアでない保存)
CVE-2025-14377(重要な情報の平文保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-020-03 |
|
Güralp Systems 社の 地震監視デバイス Güralp FMUS シリーズ および MIN シリーズ に重要な機能に対する認証の欠如に関する脆弱性
2024年11月21日 CISA 公開分の更新(Update B)
[更新内容] 情報提供のための再掲載
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-8936(不適切な入力確認)
CVE-2024-8937(バッファエラー)
CVE-2024-8938(バッファエラー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-04 |
| Schneider Electric 社の Uni-Telway Driver に入力確認に関する脆弱性 2025年2月11日 CISA 公開分の更新(Update B)
[更新内容] 情報提供のための再掲載
|
|
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-10083 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-070-01 |
| 三菱電機 の MELSOFT Update Manager に複数の脆弱性
2025年7月3日 CISA 公開分の更新(Update B)
[更新内容] 深刻度:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-11477(整数アンダーフロー)
CVE-2025-0411(保護メカニズムの不具合)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-184-03 |
2026年1月15日公開
| AVEVA 社の Process Optimization に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-61937(コード・インジェクション)
CVE-2025-64691(コード・インジェクション)
CVE-2025-61943(SQLインジェクション)
CVE-2025-65118(制御されていない検索パスの要素)
CVE-2025-64729(認証の欠如)
CVE-2025-65117(潜在的に危険な機能の使用)
CVE-2025-64769(重要な情報の平文での送信)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-01 |
| Festo 社の 複数製品のファームウェア に不十分な技術文書に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 次バージョンで、ベンダがユーザマニュアルを更新 |
| 脆弱性番号 | CVE-2022-3270 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-02 |
| Siemens 社の TeleControl Server Basic に不要な特権による実行に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40942 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-03 |
|
Siemens 社の SIMATIC 製品 および SIPLUS 製品 にリソースの枯渇に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-40944 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-04 |
| Siemens 社の RUGGEDCOM ROS に入力確認に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 4.3(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40935 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-05 |
| Siemens 社の SINEC Security Monitor に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.7(AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40830(不適切な認可)
CVE-2025-40831(不適切な入力確認)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-06 |
| Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.9(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-40891(クロスサイトスクリプティング)
CVE-2025-40892(クロスサイトスクリプティング)
CVE-2025-40893(クロスサイトスクリプティング)
CVE-2025-40898(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-07 |
|
Siemens 社の 産業用エッジデバイス製品 にユーザ制御の鍵による認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40805 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-08 |
|
Siemens 社の 産業用エッジデバイスキット にユーザ制御の鍵による認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40805 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-09 |
| Schneider Electric 社の EcoStruxure Power Build Rapsody に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-13844(二重解放)
CVE-2025-13845(解放済みメモリの使用)
|
| 参照 | |
| Siemens 社の RUGGEDCOM ROX II に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-56835(インジェクション) CVE-2024-56836(コマンドインジェクション)
CVE-2024-56837(コマンドインジェクション)
CVE-2024-56838(インジェクション)
CVE-2024-56839(インジェクション)
CVE-2024-56840(インジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-11 |
|
Güralp Systems 社の 地震監視デバイス Güralp FMUS シリーズ および MIN シリーズ に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40937(コマンドインジェクション)
CVE-2025-40938(重要なデータの暗号化の欠如)
CVE-2025-40939(不適切なアクセス制御)
CVE-2025-40940(情報漏えい)
CVE-2025-40941(情報漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-12 |
| ICONICS 社 の ICONICS Product Suite および 三菱電機 の MC Works64 に複数の脆弱性
2022年7月26日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-29834(パス・トラバーサル)
CVE-2022-33315(信頼性のないデータのデシリアライゼーション)
CVE-2022-33317(信頼性のない制御領域からの機能の組み込み)
CVE-2022-33318(信頼性のないデータのデシリアライゼーション)
CVE-2022-33319(境界外読み取り)
CVE-2022-33320(信頼性のないデータのデシリアライゼーション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-202-04 |
|
三菱電機 の 複数のファクトリオートメーションエンジニアリングソフトウェア製品 に複数の脆弱性
2024年5月14日 CISA 公開分の更新(Update E)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.0(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-51776(不適切な権限管理)
CVE-2023-51777(リソースの枯渇)
CVE-2023-51778(境界外書き込み)
CVE-2024-22102(リソースの枯渇)
CVE-2024-22103(境界外書き込み)
CVE-2024-22104(境界外書き込み)
CVE-2024-22105(リソースの枯渇)
CVE-2024-22106(不適切な権限管理)
CVE-2024-25086(不適切な権限管理)
CVE-2024-25087(リソースの枯渇)
CVE-2024-25088(不適切な権限管理)
CVE-2024-26314(不適切な権限管理)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04 |
|
Axis Communications 社の Camera Station Pro、Camera Station、および Device Manager に複数の脆弱性
2025年12月18日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.0(AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-30023(パス・トラバーサル)
CVE-2025-30024(危険なタイプのファイルの無制限アップロード)
CVE-2025-30025(絶対パストラバーサル)
CVE-2025-30026(SQLインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-08 |
2026年1月13日公開
|
Rockwell Automation 社の 432ES-IG3 Series A に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-9368 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-013-01 |
|
Rockwell Automation 社の FactoryTalk DataMosaix Private Cloud に SQL インジェクションの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-12807 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-013-02 |
| YoSmart 社の YoLink Smart Hub に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.8(AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-59449(不正な認証)
CVE-2025-59452(予測可能な数字や識別子の生成)
CVE-2025-59448(重要な情報の平文での送信)
CVE-2025-59451(不正な認証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-013-03 |
|
Güralp Systems 社の 地震監視デバイス Güralp FMUS シリーズ および MIN シリーズ に重要な機能に対する認証の欠如に関する脆弱性
2025年7月31日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップグレード) |
| 脆弱性番号 | CVE-2025-8286 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-212-01 |
2026年1月8日公開
| 日立エナジー の Asset Suite に信頼性のないデータのデシリアライゼーションに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-10492 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-008-01 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年7月2日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(デジタル署名の不適切な検証)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年12月3日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ適用、リスク緩和策) |
| 脆弱性番号 | CVE-2024-8299(制御されていない検索パスの要素)
CVE-2024-9852(制御されていない検索パスの要素)
CVE-2024-8300(デッドコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-04 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の 複数の HMI SCADA 製品に複数の脆弱性
2022年1月20日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2022-23127(クロスサイトスクリプティング)
CVE-2022-23128(不完全なブラックリスト)
CVE-2022-23129(認証情報の平文保存)
CVE-2022-23130(バッファオーバーリード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-020-01 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に不適切なデフォルトパーミッションに関する脆弱性
2024年10月22日 CISA 公開分の更新(Update B)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-7587 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-296-01 |
2026年1月6日公開
| Columbia Weather Systems 社の MicroServer に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート) |
| 脆弱性番号 | CVE-2025-61939(意図するエンドポイントとの通信チャネルの不適切な制限)
CVE-2025-64305(ファイル内またはディスク上の平文保存)
CVE-2025-66620(外部からアクセス可能なディレクトリ内のコマンドシェル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-006-01 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。