太陽光発電を狙うサイバー攻撃 どのような結果を招くのか

太陽光発電にはデジタル処理を実行している要素があり、脆弱性が存在する。この脆弱性を突かれると何が起こるのだろうか。

[Eric Geller，Cybersecurity Dive]

　太陽光発電は太陽電池パネルだけではなく、デジタル処理を利用している太陽光インバーターが不可欠だ。この太陽光インバーターに多数の脆弱（ぜいじゃく）性が見つかった。

太陽光発電を狙うサイバー攻撃　どのような結果を招くのか

　発見された脆弱性が悪用されると何が起こるのだろうか。

　世界市場で大手の3社が製造した太陽光インバーターに、遠隔操作による大規模停電を引き起こす可能性のある脆弱性が見つかった。

　サイバーセキュリティ企業Forescoutの研究者は2025年3月27日（現地時間）に発表した報告書で「太陽光インバーターに46件の脆弱性を発見した」と述べた（注1）。

　対象となったインバーターは中国に拠点を置く大手メーカーのSungrowとGrowatt New Energy、ドイツのSMA Solar Technologyの製品だ。これらの脆弱性には、情報漏えいやバッファーオーバーフロー、Webサイトのコードの欠陥などが含まれ、攻撃者が機器やユーザーに関する詳細情報を収集したり、Webポータルにデータを注入したり、デバイスのファームウェアを悪質なコードで上書きしたりする可能性がある。

　太陽光インバーターには、太陽光パネルで生成された直流電流を企業や家庭向けの交流電流に変換する役割がある。つまり、太陽光発電設備には欠かせない。Forescoutの調査結果は再生可能エネルギーへ移行する際、変化を支えるデジタル接続機器への監視を強化する必要があることを示唆した。特に、電力網への脅威が増大している中で、台湾を巡る紛争に備え、中国が米国の（電力やガス、鉄道、空港などの）重要インフラに足場を築こうとしている状況があるため（注2）、重要性は高い。

　産業機器に関するサイバーセキュリティサービスを提供するDragosのロバート・M・リー氏（CEO）は『Cybersecurity Dive』に対して次のように述べた。

　「産業制御システムの変更を可能にするような脆弱性は、攻撃者によって利用されやすい。ここ数年で、こうしたインフラをターゲットにする攻撃者が大幅に増加した。国家から支援を受ける攻撃者もいれば、そうでない攻撃者もいる。そのため、これらの脆弱性に対する可視性を向上させて影響を軽減する必要がある」

　Forescoutによると、太陽光インバーターの製造業者と蓄電システムの提供者の半数以上が中国に拠点を置いている（注3）。

　SungrowとGrowatt New Energy、SMA Solar Technologyは、Forescoutの報告書に記載された脆弱性に対応するよう修正した。その中には、共通脆弱性識別子を割り当てられた脆弱性の修正も含まれる（注4）。

どのような脆弱性なのか

　報告書によると、Growatt New Energyのインバーターは、同社のクラウドプラットフォームに基本的な欠陥があったため、特に脆弱だったとされている。これらの欠陥により、攻撃者はGrowatt New Energyのデバイスに関する情報を盗んだり、ポータルにログインすることなくデバイスの状態を変更したりできた。Forescoutによると、ある脆弱性は攻撃者によるプラットフォームへの任意のファイルのアップロードを可能にし、別の脆弱性は認可されたユーザーのリストを露出させていたようだ。

　Growatt New EnergyのWebポータルには、安全ではない直接オブジェクト参照（IDOR）の脆弱性とクロスサイトスクリプティング（XSS）の脆弱性が含まれていた。Forescoutは「攻撃者がこれらのいずれかの脆弱性を悪用してGrowatt New Energyのユーザーアカウントを乗っ取り、接続されたインバーター機器で操作できた」と述べている。インバーターをオンまたはオフにできたという。

　報告書によると、SungrowとSMA Solar Technologyのインバーターへの攻撃はより複雑なものだったが、悪用されたのは基本的なセキュリティの欠陥だった。

　これには、ハードコーディングされたログイン認証情報やスタックオーバーフローの脆弱性が含まれている。SMA Solar TechnologyのWebポータルは認可されていないコードの実行を許可するように設定されており、SungrowのAndroidのアプリケーションはセキュリティ証明書の検証に失敗し、安全ではない暗号化を使用していたため、中間者攻撃に対して脆弱な状態だった。

　太陽光インバーターの侵害により、攻撃者は電力網に甚大な損害を与えることができるだろう（注5）。Forescoutの報告書は、攻撃者がインバーターを改ざんして、電力負荷の変動が永続的に繰り返されるサイクルを作り出し、「その結果、電力網の不安定化や負荷遮断、緊急機器のシャットダウンを引き起こす可能性がある」と説明している。

日本の太陽光発電に影響はないのか

　太陽光発電は日本においても普及しており、2023年度の国内の総発電量の9.8％を占めていた。これは原子力発電による発電量の約1.1倍に相当する。

　本文で取り上げられたインバーターは国内でのシェアが米国よりも高いとは言えないものの、本文で挙げられたようなサイバー攻撃があった場合、日本国内でも電力網の不安定化などが起こる可能性がある（キーマンズネット編集部）

　Forescoutのダニエル・ドス・サントス氏（研究責任者）は、Cybersecurity Diveへの声明で次のように述べた。

　「商業施設の所有者は、太陽光設備を調達する際に厳格なセキュリティ要件を順守し、定期的なリスク評価を実施し、これらのデバイスのネットワークに関する完全な可視性を確保し、サブネットワークに分割して継続的に監視すべきだ」

【訂正：2025年4月30日午後20時30分】本記事の初出時、「2023年の国内の総発電量の11.2％を占めていた。これは原子力発電による発電量の約2倍に相当する」とありましたが、「2023年度の国内の総発電量の9.8％を占めていた。これは原子力発電による発電量の約1.1倍に相当する」の誤りでした。お詫びして訂正いたします。該当箇所は既に修正済みです（編集部）

出典：Solar power gear vulnerable to remote sabotage（Cybersecurity Dive）
注1：Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure（Business Wire）
注2：PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure（CISA）
注3：China-linked hackers primed to attack US critical infrastructure, FBI director says（Cybersecurity Dive）
注4：SUN:DOWN（Forescout）
注5：Hypothetical Solar Cyberattacks Scenarios and Impacts（NASEO）