Forescout Research Labsはこのほど、「Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure - Forescout」において、太陽光発電システムに使用されるインバーター機器から46件の脆弱性を発見したと伝えた。

調査は太陽光発電用インバーター機器の製造企業トップ10を対象に実施。うち3社の製品から脆弱性が発見された。これら脆弱性を悪用されると、送電網の不安定化、機器のボットネット化、顧客情報の流出などにつながる可能性がある。

  • Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure - Forescout

    Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure - Forescout

脆弱性の概要

Forescoutの調査により発見された46件の脆弱性は、Sungrow、Growatt、SMAの製品から発見された。脆弱性の中にはインバーターの設定変更や顧客情報に不正アクセスできるものが含まれるという。

潜在的な攻撃シナリオとしては、複数のインバーター機器を協調動作させることで同時に発電量を操作し、電力網に予期できない供給変動を強いる攻撃などが指摘されている。急激な供給量の低下や、急激な供給量の増加は停電などを引き起こす可能性がある。

近年は環境対策が推進され、太陽光発電の依存度が高くなっている。そのため、この攻撃シナリオは現実的な脅威となりうる。また、商用電源(電力会社が供給する交流電源)の電圧範囲や周波数には規定があり、これを逸脱した電力の供給は認められていない。商用電源に接続される機器はこの範囲が守られる前提で設計されており、急激な電圧の上昇などが起きれば機器の故障につながる可能性もある。

影響と対策

これら脆弱性の影響の程度は太陽光発電の依存度(割合)により異なる。Forescout Researchの調査によると、太陽光発電の商業設備はカナダ、オーストラリア、アメリカ、ノルウェー、イギリスに多く存在するという。ところが、太陽光発電の依存度は多くの国で無視できない程度に高いとされる。

  • 太陽光発電の依存度(割合) - 引用:Forescout

    太陽光発電の依存度(割合) 引用:Forescout

Forescout Researchは責任ある情報開示に基づき、公開前に脆弱性をメーカーに報告している。報告を受けたSungrow、Growatt、SMAの3社は、いずれも修正を完了したという。

日本の太陽光発電の割合は2022年度の需給実績で約9.2%(参考:「(PDF) 令和4年度(2022年度)における エネルギー需給実績(確報) 」)。経済産業省は2030年度までに15%前後に引き上げる目標を立てており、こうした脆弱性の影響は高まっていくものと予想される。

そのため、太陽光発電システムを開発および導入している場合、同様の脆弱性について必要な対策を実施することが望まれている。最後にこの脆弱性の詳細、電力網やスマートホーム機器に与える影響など、より詳しい情報は「SUNDOWN A Dark Side to Solar Energy Grids - Forescout」から確認できる。