English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年3月30日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2026年3月26日公開
| WAGO 社の 産業用マネージドスイッチ に非公開の機能に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-3587 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-01 |
| OpenCode Systems 社の OC Messaging および USSD Gateway にアクセス制御に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-70614 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-02 |
| PTC 社の 製品ライフサイクルソフトウェア Windchill にコードインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。パッチ公開まではワークアラウンド(回避策)推奨。 |
| 脆弱性番号 | CVE-2026-4681 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-03 |
|
Honeywell 社の IQ4x BMS Controller に重要な機能に対する認証の欠如に関する脆弱性
2026年3月10日 CISA 公開分の更新(Update A)
[更新内容] 深刻度/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-3611 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03 |
2026年3月24日公開
|
Pharos Controls 社の Mosaic Show Controller に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-2417 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-01 |
|
Schneider Electric 社の EcoStruxure Foxboro DCS に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2026-1286 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-02 |
| Schneider Electric 社の Plant iT/Brewmaxx に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2025-49844(解放済みメモリの使用)
CVE-2025-46817(整数オーバーフローまたはラップアラウンド)
CVE-2025-46818(コード・インジェクション)
CVE-2025-46819(整数オーバーフローまたはラップアラウンド)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-03 |
|
医用画像フォーマット DICOM 用オープンソースライブラリ Grassroots DICOM (GDCM)
に有効期限後のメモリの解放の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | SourceForge のソフトウェアページ参照 |
| 脆弱性番号 | CVE-2026-3650 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-083-01 |
|
WHILL 社の 電動車椅子 Model C2 および 折畳み式コンパクト電動車椅子 Model F に重要な機能に対する認証の欠如に関する脆弱性
2025年12月30日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-14346 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01 |
2026年3月19日公開
|
Schneider Electric 社の Modicon M241、M251、および M262 にリソースの不適切なシャットダウンおよびリリースに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.3(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート) |
| 脆弱性番号 | CVE-2025-13901 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-01 |
|
Schneider Electric 社の Modicon Controllers M241、M251、M258、および LMC058 にクロスサイトスクリプティングの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.4(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェアアップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-13902 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-02 |
|
Schneider Electric 社の EcoStruxure Automation Expert にコードインジェクションの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.2(AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-2273 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-03 |
|
Schneider Electric 社の EcoStruxure PME および EPO に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-11739 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-04 |
|
三菱電機 の CNC(数値制御装置)製品 に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-2399 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-05 |
| CTEK 社の Chargeportal に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡(該当製品は2026年4月に製造終了) |
| 脆弱性番号 | CVE-2026-25192(重要な機能に対する認証の欠如)
CVE-2026-31904(過度な認証試行の不適切な制限)
CVE-2026-27649(不適切なセッション期限)
CVE-2026-28204(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-06 |
| IGL-Technologies 社の eParking.fi に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応済み |
| 脆弱性番号 | CVE-2026-29796(重要な機能に対する認証の欠如)
CVE-2026-31903(過度な認証試行の不適切な制限)
CVE-2026-32663(不適切なセッション期限)
CVE-2026-31926(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-07 |
| Automated Logic 社の WebCTRL Premium Server に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 該当製品は2023年1月27日にサポート終了。よりセキュアなBACnet/SCに対応したWebCTRLサーバーアプリケーションの最新版へアップグレードすることを推奨。 |
| 脆弱性番号 | CVE-2026-25086(同一ポートに複数のソケットをバインドする問題)
CVE-2026-32666(スプーフィングによる認証回避)
CVE-2026-24060(重要な情報の平文での送信)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-08 |
2026年3月17日公開
| FESTO 社の Festo Automation Suite の CODESYS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2595(リクエストの直接送信)他、計126個 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-01 |
|
Schneider Electric 社の SCADAPack および RemoteConnect に例外的な状態のチェックに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-0667 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-02 |
|
Schneider Electric 社の EcoStruxure Data Center Expert にハードコードされた認証情報の使用に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-13957 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-03 |
| Siemens 社の SICAM SIAPP SDK に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.4(AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-25569(境界外書き込み)
CVE-2026-25570(スタックベースのバッファオーバーフロー)
CVE-2026-25571(長さのパラメータの不適切な処理)
CVE-2026-25572(長さのパラメータの不適切な処理)
CVE-2026-25573(ファイル名やパス名の外部制御)
CVE-2026-25605(ファイル名やパス名の外部制御)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-076-04 |
|
日立エナジー の Relion 670/650 および SAM600-IO シリーズ に観測可能な不一致に関する脆弱性
2023年6月27日 CISA 公開分の更新(Update A)
[更新内容] ベンダのアドバイザリに基づく更新
|
|
|---|---|
| 深刻度 | 基本値 5.9(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2022-4304 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-160-02 |
|
Schneider Electric 社の EcoStruxure Power Build Rapsody に複数の脆弱性
2026年1月13日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-13844(二重解放)
CVE-2025-13845(解放済みメモリの使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-015-10 |
2026年3月12日公開
| Trane 社の Tracer SC、Tracer SC+、および Tracer Concierge に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-28252(不完全、または危険な暗号アルゴリズムの使用)
CVE-2026-28253(過剰なサイズ値のメモリ割り当て)
CVE-2026-28254(認証の欠如)
CVE-2026-28255(ハードコードされた認証情報の使用)
CVE-2026-28256(セキュリティ関連のハードコードされた定数の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-01 |
| Siemens 社の RUGGEDCOM APE1808 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-55018(HTTP リクエストスマグリング)
CVE-2025-62439(通信チャネルの送信元の不適切な検証)
CVE-2025-64157(書式文字列の問題)
CVE-2026-24858(代替パスまたはチャネルを使用した認証回避)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-02 |
| Siemens 社の SIDIS Prime に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.7(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-29857(境界外読み取り)
CVE-2024-30171(観測可能な不一致)
CVE-2024-30172(不適切な入力確認)
CVE-2024-41996(不正な証明書検証)
CVE-2025-6965(数値打ち切り誤差)
CVE-2025-7783(不十分なランダム値の使用)
CVE-2025-9230(境界外書き込み)
CVE-2025-9232(境界外読み取り)
CVE-2025-9670(非効率的な正規表現の複雑さ)
CVE-2025-12816(解釈の競合)
CVE-2025-15284(不適切な入力確認)
CVE-2025-58751(パス・トラバーサル)
CVE-2025-58752(相対パストラバーサル)
CVE-2025-58754(制限またはスロットリング無しのリソースの割り当て)
CVE-2025-62522(パス・トラバーサル)
CVE-2025-64718(オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染))
CVE-2025-64756(OSコマンドインジェクション)
CVE-2025-66030(整数オーバーフローまたはラップアラウンド)
CVE-2025-66031(不適切な再帰制御)
CVE-2025-66035(送信データからの重要情報の漏えい)
CVE-2025-66412(クロスサイトスクリプティング)
CVE-2025-69277(不完全なブラックリスト)
CVE-2026-22610(クロスサイトスクリプティング)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-03 |
|
Siemens 社の SIMATIC にクロスサイトスクリプティングの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.6(AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-40943 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-04 |
|
Honeywell 社の CCTV カメラ HIB2PI および HDZ シリーズ に重要な機能に対する認証の欠如に関する脆弱性
2026年2月17日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡(該当製品は2025年4月に製造中止) |
| 脆弱性番号 | CVE-2026-1670 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-04 |
2026年3月10日公開
| Apeman 社の カメラ製品 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-11126(認証情報の不十分な保護)
CVE-2025-11851(クロスサイトスクリプティング)
CVE-2025-11852(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-01 |
|
Lantronix 社の EDS3000PS および EDS5000 に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-67034(OSコマンドインジェクション)
CVE-2025-67035(OSコマンドインジェクション)
CVE-2025-67036(OSコマンドインジェクション)
CVE-2025-67037(OSコマンドインジェクション)
CVE-2025-67038(OSコマンドインジェクション)
CVE-2025-67039(代替パスまたはチャネルを使用した認証回避)
CVE-2025-70082(未検証のパスワードの変更)
CVE-2025-67041(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-02 |
|
Honeywell 社の IQ4x BMS Controller 重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-3611 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の HMI SCADA 製品
に複数の脆弱性
2022年1月20日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-23127(クロスサイトスクリプティング)
CVE-2022-23128(不完全なブラックリスト)
CVE-2022-23129(認証情報の平文保存)
CVE-2022-23130(バッファオーバーリード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-22-020-01 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年7月2日 CISA 公開分の更新(Update C)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(デジタル署名の不適切な検証)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年12月3日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-8299(制御されていない検索パスの要素)
CVE-2024-9852(制御されていない検索パスの要素)
CVE-2024-8300(デッドコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-04 |
2026年3月5日公開
|
Delta Electronics 社の CNCSoft-G2 に境界外書き込みに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-3094 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-064-01 |
|
オープンソースのブートローダー Universal Boot Loader (U-Boot) にブートコードを含む揮発性メモリの不適切なアクセス制御に関する脆弱性
2025年12月9日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.4(AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-24857 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-343-01 |
|
Johnson Controls 社の PowerG、IQPanel、および IQHub に複数の脆弱性
2025年12月16日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.6(AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | PowerG は v53.05 以上を使用。IQPanel 2、IQ Panel 2+、IQHub は IQPanel 4(ファームウェア・バージョン 4.6.1以上)へリプレース。 |
| 脆弱性番号 | CVE-2025-61738(重要な情報の平文での送信)
CVE-2025-61739(暗号化処理のナンスおよび鍵ペアの再利用)
CVE-2025-26379(暗号における脆弱なPRNGの使用)
CVE-2025-61740(同一生成元ポリシー違反)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-350-02 |
2026年3月3日公開
|
三菱電機 の MELSEC iQ-F シリーズ の EtherNet/IP モジュール および Ethernet モジュール
に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2026-1874(常に不適切な制御フローの実装)
CVE-2026-1875(リソースの不適切なシャットダウンおよびリリース)
CVE-2026-1876(リソースの不適切なシャットダウンおよびリリース)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-62-01 |
| 日立エナジー の Relion REB500 に危険なアクションで定義された権限に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.8(AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-2459、CVE-2026-2460 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-02 |
| 日立エナジー の RTU500 シリーズ に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-1772(権限管理不備)
CVE-2026-1773(不完全なブラックリスト)
CVE-2024-8176(不適切な再帰制御)
CVE-2025-59375(制限またはスロットリング無しのリソースの割り当て)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-03 |
| Portwell 社の Engineering Toolkits にバッファエラーの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-3437 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-04 |
| Labkotec 社の LID-3300IP に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-1775 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-05 |
| Mobiliti 社の e-mobi.hu に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-26051(重要な機能に対する認証の欠如)
CVE-2026-20882(過度な認証試行の不適切な制限)
CVE-2026-27764(不適切なセッション期限)
CVE-2026-27777(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-06 |
| ePower 社の epower.ie に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-22552(重要な機能に対する認証の欠如)
CVE-2026-27778(過度な認証試行の不適切な制限)
CVE-2026-24912(不適切なセッション期限)
CVE-2026-27770(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-07 |
| Everon 社の OCPP Backends に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.4(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2026-26288(重要な機能に対する認証の欠如)
CVE-2026-24696(過度な認証試行の不適切な制限)
CVE-2026-20748(不適切なセッション期限)
CVE-2026-27027(認証情報の不十分な保護)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-062-08 |
|
日立エナジー の リモートターミナルユニット RTU500 シリーズ にセキュリティチェックに関する脆弱性
2024年4月30日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.2(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-2617 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-02 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。