太陽光発電はクラウドベースで管理されているためハッキングされると一斉に停止する危険性あり
消費者向けおよび企業向けのソーラーパネルのほとんどは一握りの企業によって集中管理されているため、ハッキングにより多数の太陽光発電システムが一斉に停止してしまう危険性があるとして、ソフトウェア開発者のバート・ヒューバート氏がオランダを例に挙げて問題点を指摘しています。
The gigantic and unregulated power plants in the cloud - Bert Hubert's writings
https://berthub.eu/articles/posts/the-gigantic-unregulated-power-plants-in-the-cloud/
オランダのようなEU圏内の国ではソーラーパネルが国外の企業によって管理されているところが多く、そのほとんどがEU以外に拠点を置く一握りの企業によって集中管理されているとのこと。これらのソーラーパネルは少なくとも25基の中規模原子力発電所に匹敵する電力を生み出していますが、ヨーロッパにはこのような管理者を規制する規則や法律はほとんどなく、偶然に、あるいはハッキングの結果により、数百万枚のソーラーパネルが同時に停止してしまう危険性があるといいます。
実際、2024年8月14日にはホワイトハッカーが400万枚のソーラーパネルを制御できることを実証し、生活の基盤となっている電力システムに意外な脆弱(ぜいじゃく)性があることを浮き彫りにしました。
EUでは何千もの大規模発電所の能力を互いに共有して利用できる「同期送電網」というシステムが構築されていて、これにより多数の国々へ安定した電力を供給することが可能ですが、同時に少しの不具合がネットワーク全体に波及する懸念もあるため、EUでは大規模な電力供給会社に厳しい基準を設けて監視を行っています。
しかし、ソーラーパネルには監視の目が届いていないのが現状だそうです。
ソーラーパネルとネットワークの間には、パネルからの電力を送電網が扱える形に変換するインバーターがつなげられており、インバーターの動作や設置についてはルールに基づいて処理が行われています。特に、オランダではベルギーの電力・ガスネットワーク連盟であるSynergridが承認したインバーターしか設置できないと定められているとのことですが、内部関係者によるとこれを強制するものはなく、承認されたもの以外も設置されている事例も確認されているそうです。
ほとんどのインバーターは直接または間接的にインターネットに接続されていて、ソーラーパネルやインバーターの所有者はアプリやウェブサイトを使ってメーカーと接続し、メーカーのシステム経由で自分のパネルがどうなっているかを確認することができます。一見すると便利な仕組みのように思えますが、多数のシステムに接続できるということは、それだけハッキングのきっかけが増えるということを意味します。
ヒューバート氏は「驚くべきことに、インバーターのメーカーが何百万もの家庭や企業の屋根に設置されたソーラーパネルの電源をオン・オフすることもできるのです。ソーラーパネル、あるいはインバーターメーカーのシステムがハッキングされ、攻撃者に悪意のあるソフトウェアアップデートを配布されて、悲惨な結果を招く可能性もあります。ソーラーパネルがすべて適切なタイミングでオフにされれば、ヨーロッパの送電網の半分が崩壊するかもしれません」と指摘しました。
さらに、ヒューバート氏は「何十基もの原子炉を同時に停止させる制御盤があったとしたら、あらゆる安全規制に従わなければなりませんし、正しい処理が行われているかを検査官がチェックしにくるでしょう。これは大規模な太陽光発電や風力発電にも当てはまりますが、家庭用のインバーターやソーラーパネルは普通の家電製品であるため、検査も法律もありません。しかし、そのような家電製品の管理は、わずか数社の業者が握っていて、ほとんどまったく規制されていません」と述べ、正しい法整備が必要だと訴えました。
近年、EUでは「NIS2」という新しい指令が生まれつつあり、これによりあらゆる種類のサービス提供者がセキュリティの強化を行う必要が生じています。ヒューバート氏は「EU加盟国がこの指令を実施する際、ソーラーパネルにソフトウェアを配信したり、多くのパネルのオン・オフを切り替えたりする能力を持っている企業も指令の対象に含まれるということを明確にするべきです」と述べています。
さらに、サイバー・レジリエンス法という別の法律も制定されつつあり、これによりインバーターとソーラーパネルに明確に焦点が当てられ、さらには付随する中央制御盤、アプリ、サービスも含まれる可能性もあるとのことから、ヒューバート氏は「サイバー・レジリエンス法で、高レベルのセキュリティ要件が定められるかもしれません」と指摘しました。
08/20 17:00
GIGAZINE
