English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年6月22日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2026年6月18日公開
|
AVer 社の カメラ製品 PTC に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-40624 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-01 |
| AzeoTech 社の DAQFactory に型の取り違えに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2026-12390 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-02 |
|
Rockwell Automation 社の FactoryTalk Historian Site Edition に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.7(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-13036(競合状態)
CVE-2025-44019(例外がキャッチされない問題)
CVE-2025-36539(例外がキャッチされない問題)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-03 |
| Schneider Electric 社の EasyLogic T150 および Saitel DP にパストラバーサルの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2026-6865 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-04 |
| 三菱電機 の MELSEC iQ-F シリーズ に整数オーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-8805 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-05 |
|
三菱電機 の MELSEC iQ-F シリーズ FX5-ENET/IP イーサネットモジュール に予期せぬ動作に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2026-8806 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-06 |
|
Schneider Electric 社の Easergy、EcoStruxture、PowerLogic、および Saitel にエントロピー不足に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-4827 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-169-07 |
| Apollo Pharmacy 社の 血糖値測定システム APG-01 BT に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-50034(重要な情報の平文での送信)
CVE-2026-52866(認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-169-01 |
2026年6月16日公開
|
Rockwell Automation 社の FactoryTalk Analytics PavilionX に認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14272 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-01 |
| Rockwell Automation 社の RSLinx に境界外読み取りに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2020-13573 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-02 |
|
Rockwell Automation 社の コントローラ製品 Logix 5370 & 5570 にリソースの不適切なシャットダウンおよびリリースに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-11317 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-03 |
| Rockwell Automation 社の CompactLogix に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11694(データの整合性検証不備)
CVE-2026-9307(認可されていない制御領域への重要情報の漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-04 |
|
Rockwell Automation 社の FLEX I/Oシリーズ向け通信アダプタモジュール に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-0646(有効期限後のメモリの解放の欠如)
CVE-2026-0647(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-167-05 |
2026年6月11日公開
| Yarbo 社の Android/iOS モバイルアプリおよびクラウドインフラ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-10557(ハードコードされた認証情報の使用)
CVE-2026-7368(認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-162-01 |
| Naxclow 社の IoT Platform に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-42947(ユーザ制御の鍵による認証回避)
CVE-2026-50108(認証の欠如)
CVE-2026-50101(パスワードエージングの未使用)
CVE-2026-28742(ハードコードされた暗号鍵の使用)
CVE-2026-42932(予測可能な数字や識別子の生成)
CVE-2026-50244(認証の欠如)
CVE-2026-50099(ファイルおよびディレクトリ情報の漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-162-02 |
| Brickcom 社の カメラ製品 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.7(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-50245(重要な機能に対する認証の欠如)
CVE-2026-50005(デフォルトの認証情報の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-162-03 |
2026年6月9日公開
|
Schneider Electric 社の 産業用イーサネットスイッチ Modicon に通信チャネルで送信中のメッセージの整合性への不適切な強制に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2024-3596 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-160-01 |
| Siemens 社の 太陽光インバータ KACO Blueplanet に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-40946(ハードコードされた暗号鍵の使用)
CVE-2026-41125(SQLインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-160-02 |
|
Schneider EcoStruxure Panel Server にリソースの安全ではないデフォルト値への初期化に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6866 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-160-03 |
|
三菱電機 の 複数のファクトリオートメーションエンジニアリングソフトウェア製品に複数の脆弱性
2024年5月14日 CISA 公開分の更新(Update F)
[更新内容] ベンダのアドバイザリに基づく更新
|
|
|---|---|
| 深刻度 | 基本値 6.0(AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-51776(不適切な権限管理)
CVE-2023-51777(リソースの枯渇)
CVE-2023-51778(境界外書き込み)
CVE-2024-22102(リソースの枯渇)
CVE-2024-22103(境界外書き込み)
CVE-2024-22104(境界外書き込み)
CVE-2024-22105(リソースの枯渇)
CVE-2024-22106(不適切な権限管理)
CVE-2024-25086(不適切な権限管理)
CVE-2024-25087(リソースの枯渇)
CVE-2024-25088(不適切な権限管理)
CVE-2024-26314(不適切な権限管理)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-135-04 |
|
Schneider Electric 社の Modicon M340/MC80 および Momentum Unity M1E に複数の脆弱性
2024年11月12日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2024-8933(通信チャネルで送信中のメッセージの整合性への不適切な強制)
CVE-2024-8935(なりすましによる認証回避)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-03 |
|
Schneider Electric 社の Modicon M340 および BMXNOE0100/0110、BMXNOR0200H に情報漏えいに関する脆弱性
2025年2月4日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ適用、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-12142 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-06 |
|
Schneider Electric 社の Modicon M340、BMXNOE0100、および BMXNOE0110 に外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
2024年6月11日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-5056 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-254-09 |
2026年6月4日公開
|
NAVTOR 社の 船舶向け航海情報配信装置 NavBox にハードコードされた認証情報の使用に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.3(AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ) |
| 脆弱性番号 | CVE-2026-21404 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-01 |
| 日立エナジー の ITT600 Explorer に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-8176(不適切な再帰制御)
CVE-2025-59375(制限またはスロットリング無しのリソースの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-02 |
|
B&R Industrial Automation 社の PPT30 Operating System に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-11482 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-03 |
| 日立エナジー の RTU500 シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-69421(NULLポインタデリファレンス)
CVE-2026-24515(NULLポインタデリファレンス)
CVE-2026-25210(整数オーバーフローまたはラップアラウンド)
CVE-2026-32776(NULLポインタデリファレンス)
CVE-2026-32777(無限ループ)
CVE-2026-32778(NULLポインタデリファレンス)
CVE-2026-8479(NULLポインタデリファレンス)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-04 |
| 日立エナジー の MACH HiDraw にヒープベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-7310 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-155-05 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年7月2日 CISA 公開分の更新(Update E)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(デジタル署名の不適切な検証)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
|
Schneider Electric 社の Modicon M340 および 通信モジュール に入力確認に関する脆弱性
2025年8月12日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップグレード、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-6625 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-238-03 |
2026年6月2日公開
|
Dreame Technology 社の モバイルアプリ Dreamehome および MOVAhome に証明書検証に関する脆弱性
2025年8月7日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-8393 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-06 |
|
Schneider Electric 社の EcoStruxure に権限管理に関する脆弱性
2025年2月11日 CISA 公開分の更新(Update A)
[更新内容] 攻撃コード:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-0327 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-079-01 |
2026年5月28日公開
| Danelec 社の MacGregor Voyage Data Recorder (VDR) G4e に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-42941(デフォルトの認証情報の使用)
CVE-2026-42951(認証情報の不十分な保護)
CVE-2026-44611(強度が不十分なパスワードハッシュの使用)
CVE-2026-42929(ハードコードされた認証情報の使用)
CVE-2026-40425(外部からアクセス可能なファイルまたはディレクトリ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-01 |
| Jinan USR IOT Technology Limited (PUSR) 社の USR-W610 RS232/485 to Wi-Fi/Ethernet Converter にハードコードされた認証情報の使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-7786 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-02 |
| ABB 社の EIBPORT にクロスサイトスクリプティングの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.0(AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2021-22291 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-03 |
|
ABB 社の Busch-Welcome 2 Wire Door Opener Actuator にアクティブ状態のデバッグコードに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.8(AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-7705 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-04 |
| CP Plus 社の 8 Ch. Network Video Recorder にクロスサイトスクリプティングの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.4(AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-6824 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-05 |
| KMW 社の CCTV 防犯カメラ製品 に未検証のパスワードの変更に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-5386 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-06 |
|
Schneider Electric 社の EcoStruxure Machine Expert HVAC に重要な情報の平文保存に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.5(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6332 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-07 |
| XCharge 社の C6 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-9037(ダウンロードしたコードの完全性検証不備)
CVE-2026-9038(スタックベースのバッファオーバーフロー)
CVE-2026-9039(リソースの安全ではないデフォルト値への初期化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-148-08 |
|
Fourth Frontier 社の Frontier X Mobile Application および Frontier X2 に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-5768 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-148-01 |
|
三菱電機 の 複数のファクトリオートメーションエンジニアリング製品 に引用されない検索パスまたは要素に関する脆弱性
2020年7月30日 CISA 公開分の更新(Update L)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.3(AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2020-14521 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-20-212-04 |
|
ABB 社の SCADA プラットフォーム Ability Zenon のリモートトランスポートサービス
に重要な機能に対する認証の欠如に関する脆弱性
2026年5月26日 CISA 公開分の更新(Update A)
[更新内容] タイトル:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ワークアラウンド(回避策)) |
| 脆弱性番号 | CVE-2025-8754 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-146-03 |
2026年5月26日公開
| ABB 社の Terra AC にヒープベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-5517 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-146-01 |
| ABB 社の AC500 V2 にバッファオーバーリードの脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.8(AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-7745 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-146-02 |
|
ABB 社の B&R Automation Runtime の System Diagnostics Manager (SDM) に不適切なリソースロックに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H/E:U/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-3450 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-146-04 |
| ABB 社の Ability Camera Connect に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2019-13962(境界外読み取り)他、計22個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-146-05 |
| ABB 社の LVS MConfig にメモリにおける平文での重要な情報の保存に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:H/E:P/RL:O/RC:C/CR:L/IR:L/AR:L)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-9970 |
| 参照 | ttps://www.cisa.gov/news-events/ics-advisories/icsa-26-146-06 |
| Eppendorf 社の Eppendorf BioFlo 320 にハードコードされたパスワードの使用に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-7251 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-146-01 |
|
Schneider Electric 社の Altivar 製品、ATVdPAC モジュール、ILC992 InterLink Converter にクロスサイトスクリプティングの脆弱性
2025年9月9日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-7746 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-01 |
2026年5月21日公開
| 日立エナジー の GMS600 に観測可能な不一致に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2022-4304 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-141-01 |
| ABB 社の B&R PC 製品 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H/E:P/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2023-45229(境界外読み取り)
CVE-2023-45230(バッファエラー)
CVE-2023-45231(境界外読み取り)
CVE-2023-45232(無限ループ)
CVE-2023-45233(無限ループ)
CVE-2023-45234(バッファエラー)
CVE-2023-45235(バッファエラー)
CVE-2023-45236(暗号における脆弱なPRNGの使用)
CVE-2023-45237(暗号における脆弱なPRNGの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-141-02 |
| ABB 社の B&R Automation Studio に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-6965(数値打ち切り誤差)他、計25個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-141-03 |
| ABB 社の B&R Automation Runtime に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:F/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-3449(予測可能な数字や識別子の生成)
CVE-2025-3448(クロスサイトスクリプティング)
CVE-2025-11498(CSVファイルの数式要素の不適切な無害化)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-141-04 |
| ABB 社の Terra AC Wallbox に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.1(AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-10504(ヒープベースのバッファオーバーフロー)
CVE-2025-12142(古典的バッファオーバーフロー)
CVE-2025-12143(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-141-05 |
|
Schneider Electric 社の EcoStruxure Process Expert に不適切なデフォルトパーミッションに関する脆弱性
2026年1月13日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.3(AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-13905 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-022-01 |
|
ABB 社の Automation Builder に重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
2025年4月30日 CISA 公開分の更新(Update A)
[更新内容] ベンダのアドバイザリに基づく更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-3394、CVE-2025-3395 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-133-04 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。