オペレーションシステムのセキュリティリスクに取り組んでいるForescout Technologies(米カリフォルニア州)は最近、太陽光発電施設のサイバーセキュリティに関するレポートを発表しました。太陽光発電システムは世界中の送電網で不可欠になりつつあるもののサイバーセキュリティ対策は後回しになりがちで、その結果、送電網に対するリスクが高まっているということです。
新たに46件の脆弱性が見つかる
Forescoutのレポートによると、太陽光発電システムは住宅用と商業用、産業用の3つに分けることができるということです。住宅用とは個人が住宅で太陽光発電を行うシステムを指し、商業用とはガソリンスタンド等の小規模施設から大規模な製造工場までビジネスで使用する電力を太陽光発電で賄うシステムを言い、メガソーラー等の大規模な太陽光発電が産業用ということです。太陽光発電システムの世界的な設置件数は住宅用や商業用が圧倒的に多い一方、電力量としては産業用のシステムが多い実態があるようです。そして産業用のシステムではインバーターやバッテリーシステムは大型化し、メーカーのクラウドに接続されることはなく、電力会社のコントロールセンターやサードパーティのエンジニアが遠隔操作をして運営しているということです。
Forescoutではソーラー・インバーターの上位6社(Huawei、Sungrow、Ginlong Solis、Growatt、GoodWe、SMA Solar)のシステムについて調査をしたということです。ちなみに上位6社のうちSMA Solarはヨーロッパを拠点とする企業で、他はすべて中国に本社がある企業だということです。調査の結果、Growattに30件、Sungrowに15件、SMA Solarに1件の計46件の脆弱性が新たに見つかり、その結果、Growattにはアカウントやデバイスの乗っ取り、データ流出のリスクが、Sungrowに端末乗っ取りとデータ流出のリスクが、SMA Solarにクラウドプラットフォーム上でリモートコードが実行されるリスクがあるということです。一方、Huawei、Ginlong Solis、GoodWeについては、限定的な分析ではあるものの脆弱性はなかったということです。
送電の不安定化や価格操作
新たに見つかった46件の脆弱性が悪用されるとデバイスやベンダーのクラウド上で任意のコマンドを実行したり、アカウントが乗っ取られたり、インバーターの所有者のデバイスを制御したりすることができるということです。太陽光発電のシステムに対する最初のサイバー攻撃として知られているのは2019年3月にアメリカの風力・太陽光発電施設に対して行われたDoS攻撃で、発電への影響はなかったもののシステムに影響が出たということです。この攻撃に関しては送電網に対する意図的な攻撃だったのか明らかにはなっていないようです。また、日本においても太陽光発電施設の遠隔監視機器800台が乗っ取られて操られていたことが昨年報じられました。この攻撃は乗っ取った遠隔監視機器を使って不正送金を行うことが目的で、太陽光発電施設そのものを狙った攻撃ではありませんでしたが、太陽光発電システムに対する攻撃が可能になる攻撃であったことから太陽光発電システムのサイバーセキュリティ研究者はこの攻撃に注目し警戒感をより強めたようです。
Forescoutのレポートでは、太陽光発電システムへのサイバー攻撃についてインバーター乗っ取りなどの手法から送電の不安定化、エネルギー価格操作など複数の攻撃シナリオが具体的に示されてリスクが喚起されていて、「インバーターなどのエンドポイント、クラウドバックエンドなどの中央サーバー、通信、アプリケーションが可能な限りセキュアであることを求めるべき」として第三者による監査が必要だとしています。
■出典
Grid Security: New Vulnerabilities in Solar Power Systems Exposed