English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2025年12月1日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2025年11月25日公開
| Ashlar-Vellum 社の Cobalt、Xenon、Argon、Lithium、Cobalt Share に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-65084(境界外書き込み)
CVE-2025-65085(ヒープベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-01 |
|
Rockwell Automation 社の Arena Simulation にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.1(AV:L/AC:H/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-11918 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-02 |
| Zenitel 社の TCIV-3+ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-64126(OSコマンドインジェクション)
CVE-2025-64127(OSコマンドインジェクション)
CVE-2025-64128(OSコマンドインジェクション)
CVE-2025-64129(境界外書き込み)
CVE-2025-64130(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-03 |
| Opto 22 社の groov View にメタデータによる重要な情報の公開に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.6(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) 基本値 6.1(AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-13084 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-04 |
|
Festo 社の Compact Vision System、Control Block、Controller、および Operator Unit products に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-22515(誤った領域へのリソースの漏えい)
CVE-2022-31806(リソースの安全ではないデフォルト値への初期化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-05 |
|
SiRcom 社の SMART Alert (SiSA) に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) 基本値 8.8(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-13483 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-06 |
|
三菱電機 の 複数のFAエンジニアリングソフトウェア製品 に複数の脆弱性
2022年12月5日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)及びリスク緩和策) |
| 脆弱性番号 | CVE-2022-25164(平文での重要情報の保存)
CVE-2022-29826(平文での重要情報の保存)
CVE-2022-29825(ハードコードされたパスワードの使用)
CVE-2022-29831(ハードコードされたパスワードの使用)
CVE-2022-29833(認証情報の不十分な保護)
CVE-2022-29827(ハードコードされた暗号鍵の使用)
CVE-2022-29828(ハードコードされた暗号鍵の使用)
CVE-2022-29829(ハードコードされた暗号鍵の使用)
CVE-2022-29830(ハードコードされた暗号鍵の使用)
CVE-2022-29832(メモリにおける平文での重要な情報の保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-333-05 |
2025年11月20日公開
| Automated Logic 社の WebCTRL Premium Server に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2024-8527(オープンリダイレクト)
CVE-2024-8528(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-01 |
| iCam365 社の 複数の CCTV カメラ に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) 基本値 7.0(AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-64770、CVE-2025-62674 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-02 |
|
Opto 22 社の GRV-EPIC-PR1、GRV-EPIC-PR2、および groov RIO に OS コマンドインジェクションの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.2(AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) 基本値 7.5(AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-13087 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-03 |
| Festo 社の MSE6-C2M/D2M/E2M に非公開の機能に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダのアドバイザリ参照 |
| 脆弱性番号 | CVE-2023-3634 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-04 |
| Festo 社の Didactic 製品 に入力確認に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2023-26293 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-05 |
|
Emerson 社の Appleton UPSMON-PRO にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | サポート終了製品のため、製品を交換するか軽減策の適用を推奨 |
| 脆弱性番号 | CVE-2024-3871 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-06 |
2025年11月18日公開
| Schneider Electric 社の EcoStruxure Machine SCADA Expert & Pro-face BLUE Open Studio に暗号アルゴリズムの使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.4(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 8.3(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ適用、リスク緩和策) |
| 脆弱性番号 | CVE-2025-9317 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-01 |
| Shelly 社の Pro 4PM に制限またはスロットリング無しのリソースの割り当てに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) 基本値 8.3(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-11243 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-02 |
| Shelly 社の Pro 3EM に境界外読み取りに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) 基本値 8.3(AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-12056 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-03 |
| Schneider Electric 社の PowerChute Serial Shutdown に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-11565(パス・トラバーサル)
CVE-2025-11566(過度な認証試行の不適切な制限)
CVE-2025-11567(不適切なデフォルトパーミッション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-04 |
| METZ CONNECT 社の EWIO2 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 9.3(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-41733(根本の脆弱性による認証回避)
CVE-2025-41734(PHP リモートファイルインクルージョン)
CVE-2025-41735(危険なタイプのファイルの無制限アップロード)
CVE-2025-41736(パストラバーサル '.../...//')
CVE-2025-41737(不適切なアクセス制御)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-322-05 |
|
Schneider Electric 社の EcoStruxure に複数の脆弱性
2025年8月12日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ホットフィックス、アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2025-54923(信頼性のないデータのデシリアライゼーション)
CVE-2025-54924(サーバーサイドのリクエストフォージェリ)
CVE-2025-54925(サーバーサイドのリクエストフォージェリ)
CVE-2025-54926(パス・トラバーサル)
CVE-2025-54927(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-03 |
2025年11月13日公開
| 三菱電機 の MELSEC iQ-F シリーズ に入力で指定された数量の不適切な検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-10259 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-01 |
| AVEVA 社の Application Server IDE にクロスサイトスクリプティングの脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.9(AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:L)(CVSSv3) 基本値 7.2(AV:L/AC:L/AT:N/PR:H/UI:P/VC:H/VI:L/VA:L/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-8386 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-02 |
| AVEVA 社の Edge に暗号アルゴリズムの使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.4(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 8.3(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-9317 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-03 |
| Brightpick AI 社の Brightpick Mission Control / Internal Logic Control に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-64307(重要な機能に対する認証の欠如)
CVE-2025-64308(認証情報の保護しない転送)
CVE-2025-64309(認証情報の保護しない転送)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-04 |
| Rockwell Automation 社の Verve Asset Manager に不正な認証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H)(CVSSv3) 基本値 8.4(AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:L/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11862 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-05 |
| Rockwell Automation 社の Studio 5000 Simulation Interface に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-11696(パス・トラバーサル)
CVE-2025-11697(サーバーサイドのリクエストフォージェリ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-06 |
| Rockwell Automation 社の FactoryTalk DataMosaix Private Cloud に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.0(AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11084(脆弱な認証)
CVE-2025-11085(不適切なエンコード、または出力のエスケープ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-07 |
| General Industrial Controls 社の Lynx+ Gateway に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H)(CVSSv3) 基本値 9.2(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-55034(脆弱なパスワードの要求)
CVE-2025-58083(重要な機能に対する認証の欠如)
CVE-2025-59780(重要な機能に対する認証の欠如)
CVE-2025-62765(重要な情報の平文での送信)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-08 |
|
Rockwell Automation 社の FactoryTalk Policy Manager にリソースの不適切なシャットダウンおよびリリースに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダのアドバイザリ参照 |
| 脆弱性番号 | CVE-2024-22019 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-09 |
|
Rockwell Automation 社の AADvance-Trusted SIS Workstation にパストラバーサルの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダのアドバイザリ参照 |
| 脆弱性番号 | CVE-2024-48510 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-10 |
| Siemens 社の SICAM P850 ファミリ および SICAM P855 ファミリ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.5(AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-30901(クロスサイトリクエストフォージェリ)
CVE-2023-31238(重要なリソースに対する不適切なパーミッションの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-11 |
| Siemens 社の Spectrum Power 4 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-32008(特権APIの不適切な使用)
CVE-2024-32009(不適切な権限設定)
CVE-2024-32010(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2024-32011(信頼性のない制御領域からの機能の組み込み)
CVE-2024-32014(重要なリソースに対する不適切なパーミッションの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-12 |
| Siemens 社の LOGO! 8 BM デバイス に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.6(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)(CVSSv3) 基本値 8.6(AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40815(古典的バッファオーバーフロー)
CVE-2025-40816(重要な機能に対する認証の欠如)
CVE-2025-40817(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-13 |
| Siemens 社の Solid Edge に証明書検証に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-40744 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-14 |
| Siemens 社の COMOS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.3(AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-45133(不完全なブラックリスト)
CVE-2024-0056(重要な情報の平文での送信)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-15 |
| Siemens 社の Altair Grid Engine に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40760(エラーメッセージによる情報漏えい)
CVE-2025-40763(制御されていない検索パスの要素)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-16 |
|
Siemens 社の Software Center および Solid Edge に制御されていない検索パスの要素に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40827 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-317-17 |
|
Festo 社の コントローラ CECC-S、CECC-LK、CECC-D ファミリ のファームウェアに複数の脆弱性
2025年9月30日 CISA 公開分の更新(Update A)
[更新内容] 脆弱性番号:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-22515(誤った領域へのリソースの漏えい)他、計33個 |
| 参照 | |
2025年11月6日公開
| Advantech 社の DeviceOn/iEdge に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | DeviceOn/iEdgeは生産・サポート終了のため無し。DeviceOnへのアップグレード推奨。 |
| 脆弱性番号 | CVE-2025-64302(クロスサイトスクリプティング)
CVE-2025-62630(パス・トラバーサル)
CVE-2025-59171(パス・トラバーサル)
CVE-2025-58423(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01 |
| Ubia 社の Ubox に認証情報の不十分な保護に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-12636 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-02 |
| ABB 社の コントローラ FLXeon に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-48842(ハードコードされた認証情報の使用)
CVE-2024-48851(指定された型の入力の不適切な検証)
CVE-2025-10205(Salt を使用しない一方向ハッシュの使用)
CVE-2025-10207(指定された型の入力の不適切な検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-03 |
| 日立エナジー の Asset Suite に不適切なログ出力の無効化に関する脆弱性
2025年10月19日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)(CVSSv3) 基本値 6.0(AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-10217 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-282-01 |
2025年11月4日公開
| 富士電機 の Monitouch V-SFT-6 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-54496(ヒープベースのバッファオーバーフロー)
CVE-2025-54526(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-01 |
|
Survision 社の License Plate Recognition (LPR) Camera に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-12108 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-02 |
|
Delta Electronics 社の CNCSoft-G2 にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-58317 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-03 |
| Radiometrics 社の VizAir に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応済み。ユーザの対応は不要。 |
| 脆弱性番号 | CVE-2025-61945(重要な機能に対する認証の欠如)
CVE-2025-54863(認証情報の不十分な保護)
CVE-2025-61956(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04 |
| IDIS 社の ICM Viewer に引数の挿入または変更に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-12556 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-05 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。