English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年3月16日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2026年3月12日公開
| Trane 社の Tracer SC、Tracer SC+、および Tracer Concierge に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-28252(不完全、または危険な暗号アルゴリズムの使用)
CVE-2026-28253(過剰なサイズ値のメモリ割り当て)
CVE-2026-28254(認証の欠如)
CVE-2026-28255(ハードコードされた認証情報の使用)
CVE-2026-28256(セキュリティ関連のハードコードされた定数の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-01 |
| Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-55018(HTTP リクエストスマグリング)
CVE-2025-62439(通信チャネルの送信元の不適切な検証)
CVE-2025-64157(書式文字列の問題)
CVE-2026-24858(代替パスまたはチャネルを使用した認証回避)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-02 |
| Siemens 社の SIDIS Prime に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.7(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-29857(境界外読み取り)
CVE-2024-30171(観測可能な不一致)
CVE-2024-30172(不適切な入力確認)
CVE-2024-41996(不正な証明書検証)
CVE-2025-6965(数値打ち切り誤差)
CVE-2025-7783(不十分なランダム値の使用)
CVE-2025-9230(境界外書き込み)
CVE-2025-9232(境界外読み取り)
CVE-2025-9670(非効率的な正規表現の複雑さ)
CVE-2025-12816(解釈の競合)
CVE-2025-15284(不適切な入力確認)
CVE-2025-58751(パス・トラバーサル)
CVE-2025-58752(相対パストラバーサル)
CVE-2025-58754(制限またはスロットリング無しのリソースの割り当て)
CVE-2025-62522(パス・トラバーサル)
CVE-2025-64718(オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染))
CVE-2025-64756(OSコマンドインジェクション)
CVE-2025-66030(整数オーバーフローまたはラップアラウンド)
CVE-2025-66031(不適切な再帰制御)
CVE-2025-66035(送信データからの重要情報の漏えい)
CVE-2025-66412(クロスサイトスクリプティング)
CVE-2025-69277(不完全なブラックリスト)
CVE-2026-22610(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-03 |
|
Siemens 社の SIMATIC にクロスサイトスクリプティングの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.6(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-40943 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-04 |
|
Honeywell 社の CCTV カメラ HIB2PI および HDZ シリーズ に重要な機能に対する認証の欠如に関する脆弱性
2026年2月17日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡(該当製品は2025年4月に製造中止) |
| 脆弱性番号 | CVE-2026-1670 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-04 |
2026年3月10日公開
| Apeman 社の カメラ製品 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-11126(認証情報の不十分な保護)
CVE-2025-11851(クロスサイトスクリプティング)
CVE-2025-11852(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-01 |
|
Lantronix 社の EDS3000PS および EDS5000 に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-67034(OSコマンドインジェクション)
CVE-2025-67035(OSコマンドインジェクション)
CVE-2025-67036(OSコマンドインジェクション)
CVE-2025-67037(OSコマンドインジェクション)
CVE-2025-67038(OSコマンドインジェクション)
CVE-2025-67039(代替パスまたはチャネルを使用した認証回避)
CVE-2025-70082(未検証のパスワードの変更)
CVE-2025-67041(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-02 |
|
Honeywell 社の IQ4x BMS Controller 重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-3611 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の HMI SCADA 製品
に複数の脆弱性
2022年1月20日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-23127(クロスサイトスクリプティング)
CVE-2022-23128(不完全なブラックリスト)
CVE-2022-23129(認証情報の平文保存)
CVE-2022-23130(バッファオーバーリード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-020-01 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年7月2日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(デジタル署名の不適切な検証)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年12月3日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-8299(制御されていない検索パスの要素)
CVE-2024-9852(制御されていない検索パスの要素)
CVE-2024-8300(デッドコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-04 |
2026年3月5日公開
|
Delta Electronics 社の CNCSoft-G2 に境界外書き込みに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-3094 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-064-01 |
|
オープンソースのブートローダー Universal Boot Loader (U-Boot) にブートコードを含む揮発性メモリの不適切なアクセス制御に関する脆弱性
2025年12月9日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.4(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-24857 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-343-01 |
|
Johnson Controls 社の PowerG、IQPanel、および IQHub に複数の脆弱性
2025年12月16日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.6(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | PowerG は v53.05 以上を使用。IQPanel 2、IQ Panel 2+、IQHub は IQPanel 4(ファームウェア・バージョン 4.6.1以上)へリプレース。 |
| 脆弱性番号 | CVE-2025-61738(重要な情報の平文での送信)
CVE-2025-61739(暗号化処理のナンスおよび鍵ペアの再利用)
CVE-2025-26379(暗号における脆弱なPRNGの使用)
CVE-2025-61740(同一生成元ポリシー違反)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-02 |
2026年3月3日公開
|
三菱電機 の MELSEC iQ-F シリーズ の EtherNet/IP モジュール および Ethernet モジュール
に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2026-1874(常に不適切な制御フローの実装)
CVE-2026-1875(リソースの不適切なシャットダウンおよびリリース)
CVE-2026-1876(リソースの不適切なシャットダウンおよびリリース)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-62-01 |
| 日立エナジー の Relion REB500 に危険なアクションで定義された権限に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-2459、CVE-2026-2460 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-02 |
| 日立エナジー の RTU500 シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-1772(権限管理不備)
CVE-2026-1773(不完全なブラックリスト)
CVE-2024-8176(不適切な再帰制御)
CVE-2025-59375(制限またはスロットリング無しのリソースの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-03 |
| Portwell 社の Engineering Toolkits にバッファエラーの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-3437 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-04 |
| Labkotec 社の LID-3300IP に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-1775 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-05 |
| Mobiliti 社の e-mobi.hu に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-26051(重要な機能に対する認証の欠如)
CVE-2026-20882(過度な認証試行の不適切な制限)
CVE-2026-27764(不適切なセッション期限)
CVE-2026-27777(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-06 |
| ePower 社の epower.ie に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-22552(重要な機能に対する認証の欠如)
CVE-2026-27778(過度な認証試行の不適切な制限)
CVE-2026-24912(不適切なセッション期限)
CVE-2026-27770(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-07 |
| Everon 社の OCPP Backends に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-26288(重要な機能に対する認証の欠如)
CVE-2026-24696(過度な認証試行の不適切な制限)
CVE-2026-20748(不適切なセッション期限)
CVE-2026-27027(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-08 |
|
日立エナジー の リモートターミナルユニット RTU500 シリーズ にセキュリティチェックに関する脆弱性
2024年4月30日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-2617 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-02 |
2026年2月26日公開
| Johnson Controls 社 の Frick Controls Quantum HD に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-21654(OSコマンドインジェクション)
CVE-2026-21656(コード・インジェクション)
CVE-2026-21657(コード・インジェクション)
CVE-2026-21658(コード・インジェクション)
CVE-2026-21659(相対パストラバーサル)
CVE-2026-21660(認証情報の平文保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-01 |
|
Pelco 社 の IP カメラ Sarix Pro 3 シリーズ に代替パスまたはチャネルを使用した認証回避に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-1241 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-02 |
| CloudCharge 社 の cloudcharge.se に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-20781(重要な機能に対する認証の欠如)
CVE-2026-25114(過度な認証試行の不適切な制限)
CVE-2026-27652(不適切なセッション期限)
CVE-2026-20733(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-03 |
| EV2GO 社 の ev2go.io に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-24731(重要な機能に対する認証の欠如)
CVE-2026-25945(過度な認証試行の不適切な制限)
CVE-2026-20895(不適切なセッション期限)
CVE-2026-22890(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-04 |
| Chargemap 社 の chargemap.com に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-25851(重要な機能に対する認証の欠如)
CVE-2026-20792(過度な認証試行の不適切な制限)
CVE-2026-25711(不適切なセッション期限)
CVE-2026-20791(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-05 |
| SWITCH EV 社 の swtchenergy.com に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-27767(重要な機能に対する認証の欠如)
CVE-2026-25113(過度な認証試行の不適切な制限)
CVE-2026-25778(不適切なセッション期限)
CVE-2026-27773(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-06 |
| EV Energy 社 の ev.energy に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-27772(重要な機能に対する認証の欠如)
CVE-2026-24445(過度な認証試行の不適切な制限)
CVE-2026-26290(不適切なセッション期限)
CVE-2026-25774(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-07 |
| Mobility46 社 の mobility46.se に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-27028(重要な機能に対する認証の欠如)
CVE-2026-26305(過度な認証試行の不適切な制限)
CVE-2026-27647(不適切なセッション期限)
CVE-2026-22878(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-08 |
| 横河電機 の CENTUM VP R6 および R7 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.9(AV:A/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ) |
| 脆弱性番号 | CVE-2025-1924(重要な機能に対する認証の欠如)
CVE-2025-48019(過度な認証試行の不適切な制限)
CVE-2025-48020(不適切なセッション期限)
CVE-2025-48021(認証情報の不十分な保護)
CVE-2025-48022(不適切なセッション期限)
CVE-2025-48023(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-09 |
| Copeland 社 の XWEB および XWEB Pro に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-25085(予期せぬステータスコードまたは戻り値)
CVE-2026-21718(不完全、または危険な暗号アルゴリズムの使用)
CVE-2026-24663(OSコマンドインジェクション)
CVE-2026-21389(OSコマンドインジェクション)
CVE-2026-25111(OSコマンドインジェクション)
CVE-2026-20742(OSコマンドインジェクション)
CVE-2026-24517(OSコマンドインジェクション)
CVE-2026-25195(OSコマンドインジェクション)
CVE-2026-20910(OSコマンドインジェクション)
CVE-2026-24689(OSコマンドインジェクション)
CVE-2026-25109(OSコマンドインジェクション)
CVE-2026-20902(OSコマンドインジェクション)
CVE-2026-24695(OSコマンドインジェクション)
CVE-2026-25105(OSコマンドインジェクション)
CVE-2026-24452(OSコマンドインジェクション)
CVE-2026-23702(OSコマンドインジェクション)
CVE-2026-25721(OSコマンドインジェクション)
CVE-2026-20764(OSコマンドインジェクション)
CVE-2026-25196(OSコマンドインジェクション)
CVE-2026-25037(OSコマンドインジェクション)
CVE-2026-22877(パス・トラバーサル)
CVE-2026-20797(スタックベースのバッファオーバーフロー)
CVE-2026-3037(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-057-10 |
|
日立エナジー の Relion 670/650 および SAM600-IO シリーズ に入力で指定された数量の不適切な検証に関する脆弱性
2023年11月28日 CISA 公開分の更新(Update C)
[更新内容] ベンダのアドバイザリに基づく更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-4518 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-02 |
| Schneider Electric 社の EcoStruxure Power Operation に複数の脆弱性
2025年7月22日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(パッチ、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-50447(evalインジェクション)
CVE-2024-28219(整数オーバーフローの発生によるバッファオーバーフロー)
CVE-2022-45198(高圧縮データの不適切な処理 (データ増幅))
CVE-2023-5217(境界外書き込み)
CVE-2023-35945(リソースの枯渇)
CVE-2023-44487(リソースの枯渇)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-203-04 |
|
Honeywell 社の CCTV カメラ HIB2PI および HDZ シリーズ に重要な機能に対する認証の欠如に関する脆弱性
2026年2月17日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-1670 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-04 |
2026年2月24日公開
| InSAT 社の MasterSCADA BUK-TS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-21410(SQLインジェクション)
CVE-2026-22553(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-01 |
| Schneider Electric 社の EcoStruxure Building Operation Workstation に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ) |
| 脆弱性番号 | CVE-2026-1227(XML外部エンティティ参照の不適切な制限)
CVE-2026-1226(コード・インジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-02 |
| Gardync 社の 水耕栽培システム Gardyn Home Kit に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-29628(重要な情報の平文での送信)
CVE-2025-29629(デフォルトの認証情報の使用)
CVE-2025-29631(OSコマンドインジェクション)
CVE-2025-1242(ハードコードされた認証情報の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03 |
| ICONICS 社 の ICONICS Product Suite および 三菱電機 の MC Works64 に複数の脆弱性
2022年7月26日 CISA 公開分の更新(Update C)
[更新内容] 脆弱性番号(CVE-2022-33316):情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-29834(パス・トラバーサル)
CVE-2022-33315(信頼性のないデータのデシリアライゼーション)
CVE-2022-33316(信頼性のないデータのデシリアライゼーション)
CVE-2022-33317(信頼性のない制御領域からの機能の組み込み)
CVE-2022-33318(信頼性のないデータのデシリアライゼーション)
CVE-2022-33319(境界外読み取り)
CVE-2022-33320(信頼性のないデータのデシリアライゼーション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-202-04 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に不適切なデフォルトパーミッションに関する脆弱性
2024年10月22日 CISA 公開分の更新(Update C)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-7587 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-296-01 |
2026年2月19日公開
| EnOcean Edge 社の SmartServer IoT に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-20761(コマンドインジェクション)
CVE-2026-22885(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-01 |
| Valmet 社の DNA Engineering Web Tools にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-15577 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-02 |
| Jinan USR IOT Technology 社の USR-W610 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | サポート終了のためパッチ提供なし。ベンダに連絡し、システムを最新の状態に保つことを推奨。 |
| 脆弱性番号 | CVE-2026-25715(脆弱なパスワードの要求)
CVE-2026-24455(重要な情報の平文での送信)
CVE-2026-26049(認証情報の不十分な保護)
CVE-2026-26048(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-03 |
|
Welker 社の OdorEyes EcoSystem Pulse Bypass System with XL4 Controller に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-24790 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-050-04 |
2026年2月17日公開
| Siemens 社の Simcenter Femap および Nastran に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-23715(境界外書き込み)
CVE-2026-23716(境界外読み取り)
CVE-2026-23717(境界外読み取り)
CVE-2026-23718(境界外読み取り)
CVE-2026-23719(ヒープベースのバッファオーバーフロー)
CVE-2026-23720(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-01 |
|
Delta Electronics 社の ASDA-Soft にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-1361 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-02 |
| GE Vernova 社の Enervista UR Setup に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-1762(制御されていない検索パスの要素)
CVE-2026-1763(パストラバーサル '.../...//')
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-03 |
| Honeywell 社の CCTV 製品 に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-1670 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-04 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。