46の重要な欠陥が主要ブランドの太陽光インバーターモデルで発見される

Forescout Vedere Labsのセキュリティ研究者は、Sungrow、Growatt、SMAの3つの主要な太陽光発電システムメーカーが製造した太陽光インバーターに46の重大な脆弱性を特定しました。これにより、緊急措置や潜在的な停電が引き起こされる可能性があります。

Forescoutの分析と発見

Forescoutは、Huawei、Sungrow、Ginlong Solis、Growatt、GoodWe、SMAの6つの主要なグローバル太陽光発電システムベンダーを分析しました。彼らは、Sungrow、Growatt、SMAの3つのベンダーに影響を与える46の新しい脆弱性を発見しました。

Forescout Vedere LabsのSUN:DOWN研究で言及されたこれらの新たに発見された脆弱性は、現在、影響を受けたベンダーによって修正されています。

これらの欠陥により、脅威アクターがデバイスやベンダーのクラウド上で任意のコマンドを実行したり、アカウントを乗っ取ったり、電力網の安定性やユーザーのプライバシーに影響を与えたり、ベンダーのインフラに足場を築いたり、インバーター所有者のデバイスを制御したりすることが可能だったかもしれません。

「住宅用太陽光発電システムが電力網の信頼性に与える集団的影響は無視できないほど重要です。病院は重要な機器へのアクセスを失う可能性があり、家族は冬に暖房がなくなったり、熱波の中でエアコンが使えなくなったりする可能性があり、企業は閉鎖する可能性があります」とForescoutのCEOであるバリー・メインズは述べています。

「脅威アクターはますます重要なインフラを標的にしており、脆弱性が現実の混乱を引き起こす前に、真剣に取り組み、太陽光インバーターシステムを保護することが不可欠です。」

研究者によると、過去3年間で毎年平均10件以上の新しい脆弱性が公開されています。以前に公開された93件の脆弱性のうち、80%は高または重大な深刻度に分類されており、そのうち32%はCVSSスコアが9.8または10であり、攻撃者が影響を受けたシステムを完全に制御できる可能性があることを示唆しています。

最も一般的に影響を受けるコンポーネントは太陽光モニターで、報告された脆弱性の38%を占め、次いでクラウドバックエンドが25%です。対照的に、太陽光インバーター自体は直接影響を受けるのはわずか15%のケースです。

研究者はさらに、太陽光インバーター製造業者の53%、ストレージシステムの58%、およびモニタリングシステム製造業者の20%が中国に拠点を置いていることを発見し、外国製の太陽光発電コンポーネントの支配に対する懸念を引き起こしています。

電力網に対する潜在的なサイバー攻撃シナリオ

1つの可能な攻撃シナリオは、悪意のあるアクターがアカウントのユーザー名を取得し、パスワードリセット機能を使用してアカウントを乗っ取り、乗っ取ったアカウントを利用してインバーターの設定を変更するコマンドを送信することです。

攻撃者がこれらのインバーターを制御すると、電力出力設定を変更したり、ボットネットとして協調的にオンオフを切り替えたりすることができます。複数のインバーターが同時に乗っ取られると、電力網の発電に大きな影響を与えます。損害の程度は、電力網がどれだけのバックアップ電力を持っているか、そしてそれをどれだけ早く起動できるかに依存します。

ヨーロッパの電力網の文脈では、以前の研究は、4.GWの太陽光発電を制御することで電力網の周波数が49Hzに低下し、負荷遮断の必要性を引き起こす可能性があることを示しています。

ヨーロッパには270GWの太陽光発電容量が設置されているため、インバーターのわずか2%を制御するだけで、Huawei、Sungrow、SMAが支配する市場で攻撃者にとって電力網を混乱させるのに十分かもしれません。

「太陽光発電システムは世界中の電力網の重要な要素となりつつありますが、持続的なセキュリティの欠陥は電力網の安定性と国家の安全を脅かしています」とForescout Vedere Labsの研究責任者であるダニエル・ドス・サントスは述べています。

業界への影響

これらの脆弱性の特定は、太陽エネルギー業界内でのセキュリティ対策の改善の必要性を強調しています。

Forescoutは、デバイスメーカーが安全なソフトウェアライフサイクルの実践を実施し、定期的なペネトレーションテストを実施し、ウェブアプリケーションファイアウォールを使用した深層防御戦略を実施し、ETSI EN 303 645、無線機器指令（RED）、およびサイバー耐性法（CRA）などの基準に基づく通信リンクの第三者監査を行うことを推奨しています。

消費者への推奨事項

太陽光発電インバーター機器に関連する潜在的な脆弱性を軽減するために、ユーザーはインバーターのファームウェアを定期的に更新し、システムのパフォーマンスを監視し、メーカーとのオープンなコミュニケーションを維持することが推奨されます。これにより、リスクを軽減することができます。