English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年1月13日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2025年1月8日公開
| 日立エナジー の Asset Suite に信頼性のないデータのデシリアライゼーションに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-10492 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-008-01 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年7月2日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(デジタル署名の不適切な検証)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年12月3日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ適用、リスク緩和策) |
| 脆弱性番号 | CVE-2024-8299(制御されていない検索パスの要素)
CVE-2024-9852(制御されていない検索パスの要素)
CVE-2024-8300(デッドコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-04 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の 複数の HMI SCADA 製品に複数の脆弱性
2022年1月20日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2022-23127(クロスサイトスクリプティング)
CVE-2022-23128(不完全なブラックリスト)
CVE-2022-23129(認証情報の平文保存)
CVE-2022-23130(バッファオーバーリード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-020-01 |
| 三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に不適切なデフォルトパーミッションに関する脆弱性
2024年10月22日 CISA 公開分の更新(Update B)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-7587 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-296-01 |
2025年1月6日公開
| Columbia Weather Systems 社の MicroServer に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート) |
| 脆弱性番号 | CVE-2025-61939(意図するエンドポイントとの通信チャネルの不適切な制限)
CVE-2025-64305(ファイル内またはディスク上の平文保存)
CVE-2025-66620(外部からアクセス可能なディレクトリ内のコマンドシェル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-006-01 |
2025年12月30日公開
|
WHILL 社の 電動車椅子 Model C2 および 折畳み式コンパクト電動車椅子 Model F に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに問い合わせ |
| 脆弱性番号 | CVE-2025-14346 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01 |
| AzeoTech 社の DAQFactory に複数の脆弱性
2025年12月11日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-66590(境界外書き込み)
CVE-2025-66589(境界外読み取り)
CVE-2025-66588(初期化されていないポインタへのアクセス)
CVE-2025-66586(型の取り違え)
CVE-2025-66585(解放済みメモリの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-03 |
2025年12月23日公開
| 三菱電機 の 空調管理システムに重要な機能に対する認証の欠如に関する脆弱性
2025年6月26日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アクセス制限設定が可能なバージョンへのアップデート) |
| 脆弱性番号 | CVE-2025-3699 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-177-01 |
2025年12月18日公開
|
Inductive Automation 社の SCADA ソフトウェア Ignition に不要な特権による実行に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.4(AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダのポータルサイト参照 |
| 脆弱性番号 | CVE-2025-13911 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-01 |
|
Schneider Electric 社の EcoStruxure Foxboro DCS Advisor に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | Microsoft のセキュリティ更新プログラム KB5070882 および KB5070884 適用 |
| 脆弱性番号 | CVE-2025-59287 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-02 |
| National Instruments 社の LabView に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-64461(境界外書き込み)
CVE-2025-64462(境界外読み取り)
CVE-2025-64463(境界外読み取り)
CVE-2025-64464(境界外読み取り)
CVE-2025-64465(境界外読み取り)
CVE-2025-64466(境界外読み取り)
CVE-2025-64467(境界外読み取り)
CVE-2025-64468(解放済みメモリの使用)
CVE-2025-64469(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-03 |
|
三菱電機アイコニクス・デジタルソリューションズ および 三菱電機 の複数の製品 に OS コマンドインジェクションの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-11774 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-04 |
| Siemens 社の Interniche IP-Stack に通信チャネルの送信元の不適切な検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40820 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-05 |
| Advantech 社の WebAccess/SCADA に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14850(パス・トラバーサル)
CVE-2025-14849(危険なタイプのファイルの無制限アップロード)
CVE-2025-14848(絶対パストラバーサル)
CVE-2025-46268(SQLインジェクション)
CVE-2025-67653(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-06 |
| Rockwell Automation 社の Micro820、Micro850、Micro870 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-13823(脆弱なサードパーティ製コンポーネントへの依存)
CVE-2025-13824(無効なポインタや参照の解放)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-07 |
| Axis Communications 社の Camera Station Pro、Camera Station、および Device Manager に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.0(AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-30023(パス・トラバーサル)
CVE-2025-30024(危険なタイプのファイルの無制限アップロード)
CVE-2025-30025(絶対パストラバーサル)
CVE-2025-30026(SQLインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-352-08 |
| 三菱電機 の CNC シリーズ に入力で指定された数量の不適切な検証に関する脆弱性
2024年10月17日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-7316 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-03 |
2025年12月16日公開
|
Güralp Systems 社の Fortimus シリーズ、Minimus シリーズ、および Certimus シリーズ に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-14466 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-01 |
| Johnson Controls 社の PowerG、IQPanel、および IQHub に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.6(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | PowerG は v53.05 以上を使用。IQPanel および IQHub は IQPanel 4 へリプレース。 |
| 脆弱性番号 | CVE-2025-61738(重要な情報の平文での送信)
CVE-2025-61739(暗号化処理のナンスおよび鍵ペアの再利用)
CVE-2025-26379(暗号における脆弱なPRNGの使用)
CVE-2025-61740(同一生成元ポリシー違反)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-02 |
|
日立エナジー の AFS、AFR、 および AFF シリーズ に通信チャネルで送信中のメッセージの整合性への不適切な強制に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | RADIUS設定をデフォルトに戻し、RADIUSサーバのメッセージオーセンティケータオプションを有効にする。 |
| 脆弱性番号 | CVE-2024-3596 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-03 |
| 三菱電機 の GT Designer3 に重要な情報の平文保存に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.1(AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-11009 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-04 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の ICONICS Product Suite
および 三菱電機 の MC Works64 に不要な特権による実行に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-0921 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-04 |
| Johnson Controls 社の iSTAR Ultra、iSTAR Ultra SE、iSTAR Ultra G2、iSTAR、ULTRA G2 SE、および iSTAR Edge G2 に複数の脆弱性
2025年8月12日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-53695(OSコマンドインジェクション)
CVE-2025-53696(データの信頼性についての不十分な検証)
CVE-2025-53697(デフォルトの認証情報の使用)
CVE-2025-53698(代替ハードウェアインターフェースの保護メカニズムの欠如)
CVE-2025-53699(代替ハードウェアインターフェースの保護メカニズムの欠如)
CVE-2025-53700(重要情報のセキュアでない保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-02 |
| 富士電機 の Monitouch V-SFT-6 に複数の脆弱性
2025年11月4日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-54496(ヒープベースのバッファオーバーフロー)
CVE-2025-54526(スタックベースのバッファオーバーフロー)
CVE-2025-53524(境界外書き込み)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-01 |
2025年12月11日公開
| Johnson Controls 社の iSTAR に OS コマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-43875、CVE-2025-43876 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-01 |
| Johnson Controls 社の iSTAR Ultra に OS コマンドインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-43873、CVE-2025-43874 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-02 |
| AzeoTech 社の DAQFactory に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-66590(境界外書き込み)
CVE-2025-66589(境界外読み取り)
CVE-2025-66588(初期化されていないポインタへのアクセス)
CVE-2025-66587(ヒープベースのバッファオーバーフロー)
CVE-2025-66586(型の取り違え)
CVE-2025-66585(解放済みメモリの使用)
CVE-2025-66584(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-03 |
| Siemens 社の IAM Client に証明書検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 9.1(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40800 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-04 |
| Siemens 社の Advanced Licensing (SALT) Toolkit に証明書検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40801 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-05 |
| Siemens 社の SINEMA Remote Connect Server に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 4.3(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40818(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2025-40819(不正な認証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-06 |
|
Siemens 社の uilding X - Security Manager Edge Controller (ACC-AP) にデジタル署名の検証に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.2(AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)(CVSSv3) 基本値 5.9(AV:L/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-31807 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-07 |
| Siemens 社の Energy Services にデジタル署名の検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.0(AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-59392 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-08 |
| Siemens 社の Gridscale X Prepay に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.3(AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)(CVSSv3) 基本値 6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40806(リクエストに対するレスポンス内容の違いに起因する情報漏えい)
CVE-2025-40807(キャプチャリプレイによる認証回避)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-09 |
|
オープンソースのプログラマブルロジックコントローラ OpenPLC_V3 にクロスサイトリクエストフォージェリの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.0(AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:H)(CVSSv3) 基本値 7.0(AV:N/AC:H/AT:N/PR:N/UI:A/VC:N/VI:H/VA:H/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-13970 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-10 |
| Grassroots 社の DICOM (GDCM) に境界外書き込みに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.6(AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:H)(CVSSv3) 基本値 6.8(AV:L/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11266 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-345-01 |
|
Varex Imaging 社の Panoramic Dental Imaging Software に制御されていない検索パスの要素に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ適用) |
| 脆弱性番号 | CVE-2024-22774 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-345-02 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。