English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2026年4月20日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
2026年4月16日公開
| Delta Electronics 社の ASDA-Soft にスタックベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-5726 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-01 |
|
Horner Automation 社の Cscape および XL4 PLC、XL7 PLC に脆弱なパスワードの要求に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-6284 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-02 |
| Anviz 社の 複数の製品に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2026-33093(認証の欠如)
CVE-2026-35061(認証の欠如)
CVE-2026-32648(認証の欠如)
CVE-2026-40461(重要な機能に対する認証の欠如)
CVE-2026-35682(コマンドインジェクション)
CVE-2026-35546(重要な機能に対する認証の欠如)
CVE-2026-40066(ダウンロードしたコードの完全性検証不備)
CVE-2026-32324(ハードコードされた暗号鍵の使用)
CVE-2026-31927(相対パストラバーサル)
CVE-2026-33569(重要な情報の平文での送信)
CVE-2026-40434(通信チャネルの送信元の不適切な検証)
CVE-2026-32650(アルゴリズムのダウングレード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-03 |
| AVEVA 社の Pipeline Simulation に認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-5387 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-04 |
2026年4月9日公開
|
Contemporary Controls 社の コントローラ BASC 20T にセキュリティ判断における信頼性のない入力への依存に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | BASC 20Tは製造中止製品。ベンダへの問い合わせ推奨。 |
| 脆弱性番号 | CVE-2025-13926 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-099-01 |
|
GPL Odorizers 社の GPL750 に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-4436 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-099-02 |
|
オープンソースのプログラマブルロジックコントローラ OpenPLC_V3 に複数の脆弱性
2025年12月11日 CISA 公開分の更新(Update A)
[更新内容] 深刻度/脆弱性番号/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.9(AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | OpenPLC_v3はサポート終了のため、OpenPLC Runtime v4へのアップグレード推奨。 |
| 脆弱性番号 | CVE-2025-13970(クロスサイトリクエストフォージェリ)
CVE-2026-28205(リソースの安全ではないデフォルト値への初期化)
CVE-2026-35556(認証情報の平文保存)
CVE-2026-35063(認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-345-10 |
2026年4月7日公開
| 三菱電機 の GENESIS64 および ICONICS Suite 製品に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-14815(重要な情報の平文保存)
CVE-2025-14816(GUI における平文での重要な情報の保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-097-01 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年12月3日 CISA 公開分の更新(Update C)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-8299(制御されていない検索パスの要素)
CVE-2024-9852(制御されていない検索パスの要素)
CVE-2024-8300(デッドコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-338-04 |
|
三菱電機アイコニクス・デジタルソリューションズ/三菱電機 の複数の製品に複数の脆弱性
2024年7月2日 CISA 公開分の更新(Update D)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.0(AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2022-2650(制限やスロットリングのないリソースの割り当て)
CVE-2023-4807(デジタル署名の不適切な検証)
CVE-2024-1182(制御されていない検索パスの要素)
CVE-2024-1573(不適切な認証)
CVE-2024-1574(クラスまたはコードを選択する外部から制御された入力の使用)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03 |
2026年4月2日公開
| Siemens 社の SICAM 製品に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2026-27663(制限またはスロットリング無しのリソースの割り当て)
CVE-2026-27664(境界外書き込み)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-092-01 |
|
横河電機 の 統合生産制御システム CENTUM VP にハードコードされたパスワードの使用に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 4.0(AV:L/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2025-7741 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-092-02 |
|
日立エナジー の 資産管理ソリューション Ellipse に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2025-10492 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-092-03 |
|
Schneider Electric 社の EcoStruxure に制御されていない検索パスの要素に関する脆弱性
2025年1月14日 CISA 公開分の更新(Update D)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-2658 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-02 |
|
Gardync 社の 水耕栽培システム Gardyn Home Kit に複数の脆弱性
2026年2月24日 CISA 公開分の更新(Update A)
[更新内容] 深刻度/脆弱性番号/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.3(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-29628(重要な情報の平文での送信)
CVE-2025-29629(デフォルトの認証情報の使用)
CVE-2025-29631(OSコマンドインジェクション)
CVE-2025-1242(ハードコードされた認証情報の使用)
CVE-2025-10681(ハードコードされた認証情報の使用)
CVE-2026-28766(重要な機能に対する認証の欠如)
CVE-2026-25197(ユーザ制御の鍵による認証回避)
CVE-2026-32646(重要な機能に対する認証の欠如)
CVE-2026-28767(OSコマンドインジェクション)
CVE-2026-32662(アクティブ状態のデバッグコード)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-055-03 |
2026年3月31日公開
| アンリツ の リモートスペクトラムモニタ に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ修正予定なし。セキュアなネットワーク環境内での利用推奨。 |
| 脆弱性番号 | CVE-22026-3356 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-090-01 |
|
オープンソースのフライトコントローラー(自動操縦ソフトウェア)PX4 Autopilot に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | USB以外のすべての通信リンクにおいて、認証メカニズムとして MAVLink 2.0のメッセージ署名を有効にすることを推奨。 |
| 脆弱性番号 | CVE-2026-1579 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-090-02 |
|
三菱電機 の MELSEC iQ-F シリーズ に指定された型の入力の不適切な検証に関する脆弱性
2024年11月19日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-8403 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-324-01 |
2026年3月26日公開
| WAGO 社の 産業用マネージドスイッチ に非公開の機能に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-3587 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-01 |
| OpenCode Systems 社の OC Messaging および USSD Gateway にアクセス制御に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-70614 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-02 |
| PTC 社の 製品ライフサイクルソフトウェア Windchill にコードインジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応中。パッチ公開まではワークアラウンド(回避策)推奨。 |
| 脆弱性番号 | CVE-2026-4681 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-085-03 |
|
Honeywell 社の IQ4x BMS Controller に重要な機能に対する認証の欠如に関する脆弱性
2026年3月10日 CISA 公開分の更新(Update A)
[更新内容] 深刻度/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2026-3611 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03 |
2026年3月24日公開
|
Pharos Controls 社の Mosaic Show Controller に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2026-2417 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-01 |
|
Schneider Electric 社の EcoStruxure Foxboro DCS に信頼性のないデータのデシリアライゼーションに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2026-1286 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-02 |
| Schneider Electric 社の Plant iT/Brewmaxx に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(パッチ、リスク緩和策) |
| 脆弱性番号 | CVE-2025-49844(解放済みメモリの使用)
CVE-2025-46817(整数オーバーフローまたはラップアラウンド)
CVE-2025-46818(コード・インジェクション)
CVE-2025-46819(整数オーバーフローまたはラップアラウンド)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-26-083-03 |
|
医用画像フォーマット DICOM 用オープンソースライブラリ Grassroots DICOM (GDCM)
に有効期限後のメモリの解放の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) |
| 攻撃コード | 有り |
| 対策 | SourceForge のソフトウェアページ参照 |
| 脆弱性番号 | CVE-2026-3650 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-083-01 |
|
WHILL 社の 電動車椅子 Model C2 および 折畳み式コンパクト電動車椅子 Model F に重要な機能に対する認証の欠如に関する脆弱性
2025年12月30日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート) |
| 脆弱性番号 | CVE-2025-14346 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。