太陽光発電 イメージ

欧州の太陽光発電システム構成要素に17個の脆弱性

2017.08.18

Updated by WirelessWire News編集部 on 8月 18, 2017, 07:00 am JST

電力供給網は、電力の需要と供給のバランスを保ちつつ、供給側の量をコントロールしているので、不意を突かれる形で供給量が急減すれば、大停電の原因となる。全体の発電量の中で太陽光発電の占める割合が増えれば、例えば、皆既日蝕によって太陽光が遮られることによる発電量の低下に対して、他の発電方式による発電量を増やすといった対策が必要だ。

オランダのセキュリティ研究者、Willem Westerhof氏は、欧州に設置されている太陽光発電システムの構成要素(インターネット接続されたAC-DCコンバーター)に、17個の脆弱性があることを指摘している。太陽光発電システムの多くは電力網に接続され、他の火力、水力、風力などの発電システムとともに電力消費を支えているから、悪意を持った者がインターネットを介して多数のコンバーターを同時に乗っ取り、同時にスイッチオフしてしまえば、広い範囲に大規模な停電などを引き起こす恐れがある。
 
 
脆弱性の中には、メーカーがプリセットした推測しやすいパスワードの利用をしている、といった初歩的なものも含まれる。パソコンやウェブサービスなどがローマ字の大文字小文字と数字を組み合わせた複雑なパスワードを要求したり、スマートフォンなどモバイル機器を駆使して二段階認証を要求したりする一方で、ルーターなどの通信機器や、機械の制御盤などの中には、ログインにユーザ名とパスワードを要求するものの、出荷時のデフォルト値にuserとかadminといった簡単な文字列を設定しているケースが多い。RouterPassword.comというサイトでは、メーカー各社のルーターのデフォルトのパスワードが集積され公開されている。

数千台、数万台の機器を出荷する際に、一つ一つの製品のIDとパスワードを変えた場合、それらを購買者にどのように伝えればよいのか。メーカー側にとっては非常に面倒でコストのかかる課題だ。例えば取扱説明書などと一緒に、ID・パスワードを印刷した紙を、取り違いの無いよう同梱するなどの作業が必要になってくる。共通のデフォルト値で設定して出荷し、初回のログイン時に購買者側で設定変更してもらった方が、ずっと楽だ。購買者の側では、設定を変更したら、それを暗記するなり記録するなりしておかなければならないが、頻繁にログインしないなら、取扱説明書に印刷されているadminとかuserというパスワードやユーザ名をそのままにしておくのが楽。結果的に、一回か二回の試行で簡単に第三者がログインできてしまう無数の機器がインターネットに接続されてしまうことになりかねない状況になっている。
 
 
Willem Westerhof氏は、講演などのほか、ホルス・シナリオ(ホルスは鷹の形をしたエジプト神話の太陽と空の神のこと)というウェブサイトを立ち上げ、太陽光発電システムの脆弱性、危険性を訴えている。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

RELATED TAG