Forescout Vedere Labs、世界の太陽光発電インフラにおける深刻な体系的セキュリティリスクを明らかに

2025年3月27日、カリフォルニア州サンノゼ – グローバルなサイバーセキュリティリーダーであるForescout Technologies, Inc.は本日、『SUN:DOWN – 太陽光発電システムの組織的な悪用による電力網の不安定化』という調査レポートを公開しました。Forescoutの調査機関であるVedere Labsは、世界トップ10に入る太陽光インバーターベンダーのうち3社において、新たに46件の脆弱性を発見しました。また、過去3年間に公開された太陽光発電システムの脆弱性の80％が、高度または重大な危険度に分類されていることも明らかにしました。これらの結果は、電力網の安定性、公益事業の運用、消費者のデータプライバシーに影響を与える深刻な体系的セキュリティ問題が太陽光エコシステムに存在していることを示しています。

ForescoutのCEO、Barry Mainzは次のように述べています。「住宅用太陽光システムが電力網の信頼性に与える影響は無視できるものではありません。病院が重要機器へのアクセスを失ったり、家庭が真冬に暖房を使えなくなったり、猛暑時にエアコンが止まったり、企業活動が停止する恐れがあります。攻撃者は重要インフラをますます標的にしているため、現実に影響が出る前に太陽光インバーターシステムのセキュリティ強化が急務です。」

調査による主な発見内容：

• 世界トップ10に入る太陽光インバーターベンダーのうち、Sungrow、Growatt、SMAの3社で46件の新たな脆弱性を発見。これらの一部は、攻撃者がインバーター設定を改ざんしたり、ユーザーのプライバシーを侵害したりすることを可能にします。

• 深刻で継続的なサイバーセキュリティギャップ：過去3年間で太陽光発電システムには平均して年間10件の脆弱性が報告されており、93件の既知の脆弱性のうち80％が高度または重大な危険度と分類され、30％が最大レベルのCVSSスコア（9.8～10）を持っています。これは攻撃者がシステムを完全に乗っ取れることを意味しています。

• 太陽光発電サプライチェーンにおける地政学的懸念の高まり：太陽光インバーター製造業者の53％、蓄電システム提供者の58％が中国に拠点を置いています。また、監視システムメーカーの20％も中国製であるため、海外製太陽光発電機器の占有率の高さが懸念されています。

攻撃の潜在的なシナリオと影響：

攻撃者はこれらの脆弱性を利用して複数の方法でインバーターシステムを制御できます。Growattインバーターはクラウドベースの乗っ取りに弱く、ユーザー資源や太陽光プラント、機器への不正アクセスや制御を許してしまいます。Sungrowインバーターは、通信ドングルのシリアル番号を不適切な直接オブジェクト参照（IDOR）で収集し、ハードコードされた認証情報を悪用し、リモートコード実行を可能にするメッセージ送信を通じて完全に制御される可能性があります。

これらの脆弱性を悪用することで、サイバー犯罪者は大規模に発電量を操作し、協調的な負荷変更攻撃を行って電力網を不安定化させることが可能になり、緊急電力措置やグリッドの切断、停電につながる恐れがあります。

責任ある開示後、すべてのベンダーは報告された問題の修正を完了しました。

Forescout Research – Vedere Labsのリサーチ責任者であるダニエル・ドスサントス氏は次のように述べています。「太陽光発電システムは世界中で電力網の重要要素となりつつありますが、継続的なセキュリティ問題が電力網の安定性や国家安全保障を脅かしています。リスクを軽減するため、商用設備の所有者は太陽光発電設備の調達時に厳格なセキュリティ要件を設定し、定期的なリスク評価を行い、ネットワーク内でこれらのデバイスの完全な可視性を確保し、継続的な監視の下でサブネットに分割する必要があります。」

脆弱性、攻撃シナリオとその影響、スマートインバーター所有者や公益事業者、機器メーカー、規制当局向けの緩和策の詳細については、完全な調査レポート（英語）、概要ブログ（英語）、ウェビナー（英語）をご覧ください。

Forescoutについて

Forescoutのサイバーセキュリティプラットフォームは、IT、OT、IoT環境における完全な資産インテリジェンスと制御を提供します。20年以上にわたり、Fortune 100企業、政府機関、大手企業が、サイバーリスク管理、コンプライアンス確保、脅威軽減の基盤としてForescoutを信頼してきました。100以上の高機能なセキュリティおよびIT製品とのシームレスなコンテキスト共有とワークフローのオーケストレーションにより、あらゆるサイバーセキュリティ投資の効果を最大化します。

また、Forescout Research – Vedere Labsは、デバイスインテリジェンス分野における業界リーダーとして、独自かつ高度な脅威インテリジェンスをキュレーションし、Forescoutプラットフォームに活用しています。

当報道資料は、2025年3月27日（現地時間）にForescoutが発表したプレスリリースの抄訳をもとにしています。原文はこちらを参照ください。