English
情報セキュリティ
CISAが公開した制御システムの脆弱性情報(直近1ヶ月)
最終更新日:2025年11月10日
米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)
が直近1ヶ月の間に公開した制御システムの脆弱性の概要を日本語で掲載しています(脚注1)。使用している制御システムの脆弱性情報の日々のチェックに役立ててください。更新は原則毎週月曜日です。
[2023年2月24日に、US-CERTとICS-CERTが廃止となり、CISAに統合されました。]
CISAが公開した脆弱性のうち、脆弱性番号(CVE)が採番されている脆弱性は、IPAの脆弱性対策情報データベース JVN iPedia でも公開している可能性があります。過去の制御システムの脆弱性を日本語でチェックしたい場合は、JVN iPediaを活用ください(JVN iPediaでのCISA公開脆弱性情報の検索方法については、「制御システムのセキュリティ」ページを参照ください)。
なお、1つのアドバイザリに複数の脆弱性が含まれる場合、深刻度は「深刻度が1番高い脆弱性」の深刻度を記載しています。
-
(脚注1)本ページに掲載しているのは、CISAが公開しているAdvisory/Alertのうち、制御システムの脆弱性に関する情報です。Alertであっても、攻撃キャンペーンに関するAlert等については掲載していないことがあります。
2025年11月6日公開
| Advantech 社の DeviceOn/iEdge に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | DeviceOn/iEdgeは生産・サポート終了のため無し。DeviceOnへのアップグレード推奨。 |
| 脆弱性番号 | CVE-2025-64302(クロスサイトスクリプティング)
CVE-2025-62630(パス・トラバーサル)
CVE-2025-59171(パス・トラバーサル)
CVE-2025-58423(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01 |
| Ubia 社の Ubox に認証情報の不十分な保護に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-12636 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-02 |
| ABB 社の コントローラ FLXeon に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-48842(ハードコードされた認証情報の使用)
CVE-2024-48851(指定された型の入力の不適切な検証)
CVE-2025-10205(Salt を使用しない一方向ハッシュの使用)
CVE-2025-10207(指定された型の入力の不適切な検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-03 |
| 日立エナジー の Asset Suite に不適切なログ出力の無効化に関する脆弱性
2025年10月19日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)(CVSSv3) 基本値 6.0(AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-10217 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-282-01 |
2025年11月4日公開
| 富士電機 の Monitouch V-SFT-6 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-54496(ヒープベースのバッファオーバーフロー)
CVE-2025-54526(スタックベースのバッファオーバーフロー)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-01 |
|
Survision 社の License Plate Recognition (LPR) Camera に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-12108 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-02 |
|
Delta Electronics 社の CNCSoft-G2 にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-58317 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-03 |
| Radiometrics 社の VizAir に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダ対応済み。ユーザの対応は不要。 |
| 脆弱性番号 | CVE-2025-61945(重要な機能に対する認証の欠如)
CVE-2025-54863(認証情報の不十分な保護)
CVE-2025-61956(重要な機能に対する認証の欠如)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04 |
| IDIS 社の ICM Viewer に引数の挿入または変更に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-12556 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-05 |
2025年10月30日公開
|
国際標準化機構(ISO)の ISO 15118-2 に意図するエンドポイントとの通信チャネルの不適切な制限に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.3(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H)(CVSSv3) 基本値 7.2(AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ISO 15118-20に準拠したすべての通信においてTLSの使用を推奨 |
| 脆弱性番号 | CVE-2025-12357 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-01 |
| 日立エナジー の TropOS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-1036(OSコマンドインジェクション)
CVE-2025-1037(不適切な権限管理)
CVE-2025-1038(OSコマンドインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-303-02 |
2025年10月28日公開
|
Schneider Electric 社の EcoStruxure に制限またはスロットリング無しのリソースの割り当てに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.2(AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-10085 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-301-01 |
| Vertikal Systems 社のHospital Manager Backend Services に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 9月19日までに修正済み。詳細についてはベンダのサポートに連絡。 |
| 脆弱性番号 | CVE-2025-54459(認可されていない制御領域への重要情報の漏えい)
CVE-2025-61959(エラーメッセージによる情報漏えい)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-301-01 |
|
Schneider Electric 社の Modicon M241/M251/M258/LMC058 に入力確認に関する脆弱性
2024年12月17日 CISA 公開分の更新(Update B)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ファームウェア・アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-11737 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-04 |
2025年10月23日公開
| AutomationDirect 社の Productivity Suite に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-62498(相対パストラバーサル)
CVE-2025-61977(パスワードを忘れた場合の脆弱なパスワードリカバリの仕組み)
CVE-2025-62688(重要なリソースに対する不適切なパーミッションの割り当て)
CVE-2025-61934(制限されていないIPアドレスへのバインディング)
CVE-2025-58456(相対パストラバーサル)
CVE-2025-58078(相対パストラバーサル)
CVE-2025-58429(相対パストラバーサル)
CVE-2025-59776(相対パストラバーサル)
CVE-2025-60023(相対パストラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-01 |
|
ASKI Energy 社の ALS-Mini-S8 および ALS-mini-s4 IP に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N)(CVSSv3) 基本値 9.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 2022年に生産終了した製品のため、修正プログラム提供予定なし。リスク緩和策推奨。 |
| 脆弱性番号 | CVE-2025-9574 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-02 |
| Veeder-Root 社の 自動タンクゲージシステム TLS4B に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.4.(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-58428(コマンドインジェクション)
CVE-2025-55067(整数オーバーフローまたはラップアラウンド)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-03 |
| Delta Electronics 社の ASDA-Soft にスタックベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.4(AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-62579、CVE-2025-62580 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-296-04 |
| 日本光電 の セントラルモニタ CNS-6201 に NULL ポインタデリファレンスに関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 2024年9月サポート終了製品のため、後継製品への意向推奨 |
| 脆弱性番号 | CVE-2025-59668 |
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-296-01 |
|
Schneider Electric 社の EcoStruxure に制御されていない検索パスの要素に関する脆弱性
2025年2月6日 CISA 公開分の更新(Update C)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-2658 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-02 |
|
日立エナジー の MACH SCM に複数の脆弱性
2024年4月25日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.7(AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-0400(コード・インジェクション)
CVE-2024-2097(evalインジェクション)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-116-02 |
|
Schneider Electric 社の Altivar 製品、ATVdPAC モジュール、ILC992 InterLink Converter にクロスサイトスクリプティングの脆弱性
2025年9月16日 CISA 公開分の更新(Update A)
[更新内容] 対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)(CVSSv3) 基本値 5.3(AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-7746 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-259-01 |
2025年10月21日公開
| Rockwell Automation 社の 1783-NATR に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)(CVSSv3) 基本値 9.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-7328(重要な機能に対する認証の欠如)
CVE-2025-7329(クロスサイトスクリプティング)
CVE-2025-7330(クロスサイトリクエストフォージェリ)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-01 |
|
Rockwell Automation 社の Compact GuardLogix 5370 に例外がキャッチされない問題に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9124 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-02 |
| Siemens 社の SIMATIC S7-1200 CPU V1/V2 機器 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7.(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2011-20001(不適切な入力確認)
CVE-2011-20002(キャプチャリプレイによる認証回避)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-03 |
| Siemens 社の RUGGEDCOM ROS 機器 に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.7(AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2023-52236(不完全、または危険な暗号アルゴリズムの使用)
CVE-2025-41222(例外的な状態における不適切な処理)
CVE-2025-41223(不完全、または危険な暗号アルゴリズムの使用)
CVE-2025-41224(保護メカニズムの不具合)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-04 |
|
CloudEdge 社の CloudEdge App および CloudEdge Online Cameras にワイルドカードまたは照合シンボルの不適切な無害化に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-11757 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-05 |
|
Raisecomm 社の RAX701-GC-WP-01 P200R002C52 および RAX701-GC-WP-01 P200R002C53 に代替パスまたはチャネルを使用した認証回避 に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-11534 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-294-06 |
|
Oxford Nanopore Technologies 社の DNA および RNA シーケンサー制御ソフトウェア MinKNOW に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.6(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L)(CVSSv3) 基本値 8.3(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N/R:U)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2024-35585(重要な機能に対する認証の欠如)
CVE-2025-54808(認証情報の不十分な保護)
CVE-2025-10937(例外的な状態における不適切なチェック)
|
| 参照 | https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-294-01 |
|
Schneider Electric 社の Pro-face GP-Pro EX および Remote HMI に通信チャネルで送信中のメッセージの整合性への不適切な強制に関する脆弱性
2025年2月4日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.1(AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H)(CVSSv3) 基本値 6.1(AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2024-12399 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-07 |
|
Schneider Electric 社の Modicon Controllers にクロスサイトスクリプティングの脆弱性
2024年12月19日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 5.4(AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)(CVSSv3) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2024-6528 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-354-07 |
|
Schneider Electric 社の PLC製品 Modicon M241/M251/M258/LMC058 に別領域リソースに対する外部からの制御可能な参照に関する脆弱性
2025年5月20日 CISA 公開分の更新(Update B)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-2875 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-140-08 |
2025年10月16日公開
|
Rockwell Automation 社の FactoryTalk View Machine Edition および PanelView Plus 7 に複数の脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-9064(パス・トラバーサル)
CVE-2025-9063(不適切な認可)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-01 |
| Rockwell Automation 社の FactoryTalk Linx に権限の連鎖に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(Microsoft社のパッチ適用、アップグレード) |
| 脆弱性番号 | CVE-2025-9067、CVE-2025-9068 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-02 |
| Rockwell Automation 社の FactoryTalk ViewPoint に XML 外部エンティティの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7.(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9066 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-03 |
| Rockwell Automation 社の ArmorStart AOP に XML 例外がキャッチされない問題に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダのアドバイザリ参照 |
| 脆弱性番号 | CVE-2025-9437 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-04 |
| Siemens 社の Solid Edge に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 7.3(AV:L/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40809(境界外書き込み)
CVE-2025-40810(境界外書き込み)
CVE-2025-40811(境界外読み取り)
CVE-2025-40812(境界外読み取り)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-05 |
| Siemens 社の SiPass integrated に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.6(AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2023-35002(バッファエラー)
CVE-2025-40772(クロスサイトスクリプティング)
CVE-2025-40773(ユーザ制御の鍵による認証回避)
CVE-2025-40774(復元可能な形式でのパスワード保存)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-06 |
|
Siemens 社の SIMATIC ET 200SP の通信プロセッサ に重要な機能に対する認証の欠如に関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40771 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-07 |
| Siemens 社の SINEC NMS に SQL インジェクションの脆弱性 | |
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40755 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-08 |
| Siemens 社の TeleControl Server Basic に重要な機能に対する認証の欠如に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 9.3(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-40765 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-09 |
|
Siemens 社の HyperLynx および Industrial Edge App Publisher に型の取り違えに関する脆弱性
|
|
|---|---|
| 深刻度 | 基本値 8.1(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)(CVSSv3) 基本値 7.0(AV:N/AC:L/AT:P/PR:H/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、ワークアラウンド(回避策)およびリスク緩和策) |
| 脆弱性番号 | CVE-2025-6554 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-10 |
| 日立エナジー の MACH GWS に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.1(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-39201(不適切なデフォルトパーミッション)
CVE-2025-39203(データの整合性検証不備)
CVE-2025-39205(不正な証明書検証)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-289-11 |
| Schneider Electric 社の EcoStruxure に複数の脆弱性
2025年8月12日 CISA 公開分の更新(Update A)
[更新内容] タイトル/影響を受ける製品:情報更新
|
|
|---|---|
| 深刻度 | 基本値 8.8(AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(ホットフィックス、アップグレード、リスク緩和策) |
| 脆弱性番号 | CVE-2025-54923(信頼性のないデータのデシリアライゼーション)
CVE-2025-54924(サーバーサイドのリクエストフォージェリ)
CVE-2025-54925(サーバーサイドのリクエストフォージェリ)
CVE-2025-54926(パス・トラバーサル)
CVE-2025-54927(パス・トラバーサル)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-224-03 |
|
Delta Electronics 社の HMI ソフトウェア CNCSoft-G2 にスタックベースのバッファオーバーフローの脆弱性
2024年4月30日 CISA 公開分の更新(Update A)
[更新内容] 影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.8(AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)(CVSSv3) 基本値 8.5(AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2024-4192、CVE-2025-58319 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01 |
2025年10月14日公開
| Rockwell Automation 社の 1715 EtherNet/IP に複数の脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 7.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップグレード) |
| 脆弱性番号 | CVE-2025-9177(制限またはスロットリング無しのリソースの割り当て)
CVE-2025-9178(境界外書き込み)
|
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-287-01 |
2025年10月9日公開
| 日立エナジー の Asset Suite に不適切なログ出力の無効化に関する脆弱性 | |
|---|---|
| 深刻度 | 基本値 6.5(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)(CVSSv3) 基本値 6.0(AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(リスク緩和策) |
| 脆弱性番号 | CVE-2025-10217 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-282-01 |
|
Rockwell Automation 社製品の Cisco ライフサイクルサービス にスタックベースのバッファオーバーフローの脆弱性
|
|
|---|---|
| 深刻度 | 基本値 7.7(AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) 基本値 6.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | ベンダに連絡 |
| 脆弱性番号 | CVE-2025-20352 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-282-02 |
| Rockwell Automation 社のStratix にスタックベースのバッファオーバーフローの脆弱性 | |
|---|---|
| 深刻度 | 基本値 7.7(AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)(CVSSv3) 基本値 6.3(AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:H)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート) |
| 脆弱性番号 | CVE-2025-20352 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-282-03 |
| 三菱電機 の 複数の FA 製品 に入力で指定された数量の不適切な検証に関する脆弱性
2025年5月8日 CISA 公開分の更新(Update A)
[更新内容] タイトル/深刻度/影響を受ける製品/対策:情報更新
|
|
|---|---|
| 深刻度 | 基本値 7.5(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)(CVSSv3) 基本値 8.7(AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N)(CVSSv4) |
| 攻撃コード | 現状確認されていない |
| 対策 | 有り(アップデート、リスク緩和策) |
| 脆弱性番号 | CVE-2025-3511 |
| 参照 | https://www.cisa.gov/news-events/ics-advisories/icsa-25-128-03 |
CISA公開脆弱性情報のJVN iPediaでの検索
CISA公開脆弱性情報の検索には、JVN iPedia 詳細検索 を活用ください。
特定のベンダ、または製品の脆弱性情報を検索したい場合
「ベンダ名」「製品」を指定 →「検索」
CISA公開脆弱性情報(ICS AdvisoryまたはAlert)を検索したい場合
・医療機器関連のアドバイザリ:「キーワード」に「ICSMA」と入力 →「検索」
(検索例:2017年のICSMAアドバイザリ)
・その他の制御システム関連(ネットワーク機器を含む)のアドバイザリ:「キーワード」に「ICSA」と入力 →「検索」
(検索例:2017年のICSAアドバイザリ)
・注意喚起:「キーワード」に「ICS-ALERT」と入力 →「検索」
(検索例:過去のICS Alert)
キーワードで検索したい場合
「キーワード」にキーワードを入力 →「検索」
必要に応じて、「公表日」「最終更新日」「深刻度」等で絞り込むことができます。検索機能の使い方については、検索の使い方を参照ください。
IPAにおける制御システムのセキュリティへの取組み
IPAにおける制御システムのセキュリティへの取組みは、「制御システムのセキュリティ」ページ を参照ください。
お問い合わせ先
IPA セキュリティ センター(IPA/ISEC)
-
E-mail
CISAが公開した脆弱性情報の内容に関しては、
CISA、またはベンダにお問い合わせください。