2025年5月中旬、米国の一部メディアが、太陽光発電所で使用されているいくつかの中国製インバータおよび蓄電池で、秘密通信を可能にする可能性のある疑わしいデバイスが見つかったとセキュリティ専門家が報告したというニュースを発表しました。
研究者たちは、無文書化された通信デバイス(ラジオ受信機・送信機を含む)を発見したとされており、これらを通じてインバータ、蓄電池、または太陽光発電所にリモートアクセスすることが可能であった可能性があります。当然のことながら、メーカーまたは供給チェーン内の他者が、太陽光発電所の主要コンポーネントにバックドア(英語:backdoor)を埋め込み、サイバー攻撃を実行できるようにしたのではないかという懸念がすぐに生じました。
問題は、太陽光発電所へのこのようなサイバー攻撃が、極端な場合には、単に停電や電圧上昇を引き起こすだけでなく、火災を引き起こす可能性があることです。したがって、このような脅威は確かに真摯に受け止める必要があります。ところで、ウクライナのエネルギーインフラへのサイバー攻撃を思い出しますね?
残念ながら、現在のところ、この件についてのより具体的な情報はありません。メディアに語った情報源も匿名であり、具体的なデバイスについては言及したくないため、この情報の独立した検証は困難です。しかし、当然のことながら、脅威を真摯に受け止める必要がないということではありません。
イスラエルのSolarEdge
スロベニアではどうでしょうか?
データはそれほど多くありませんが、スロベニア太陽光発電ポータルの年次報告書から、2022年のスロベニアに17,278の太陽光発電所があったことが分かります。個々のメーカーの市場シェアに関するデータは入手できませんが、スロベニアではSolarEdgeメーカーが太陽光発電所のかなり大きなシェアを持っているようです。これはイスラエルからの企業であり、その機器はスロベニアの様々な企業によって販売・保守されています。
同社のパンフレットは以下のように述べています:「SolarEdgeは分散型太陽光エネルギー取得システムおよび太陽光発電所の動作監視を提供します。…SolarEdgeの製品ラインアップには、パワーオプティマイザー、高度に信頼性の高い光電変換器、およびシステム制御とモジュールレベルのエラー検出のためのウェブポータルが含まれています。」
したがって、SolarEdgeの機器は顧客の太陽光発電所から多くのデータを収集します。特に、生成された電気と消費された電気に関するデータを収集します(消費データは個人データ保護の観点からも興味深いもので、これらを使用することで、住民がいつ休暇中かを判断したり、建物に何人の人が住んでいるか、または彼らの日常の習慣が何かを判断することが可能になります)。さらに、いくつかのより技術的なデータも収集されます。
データへのアクセスはアプリケーションを通じて行われるため、データはクラウドに送信されます。クラウドサービスはサーバーmonitoring.solaredge.comにホストされており、このサーバーのIPアドレスはイスラエルにあります。
もっとも、データへのアクセスにはもう一つの方法があります。すなわち、データへのアクセスは、インバータ上のAPIインターフェイスを通じてローカルに行うこともできます(ただし、すべてのSolarEdgeインバータがこれを提供しているわけではありません)。しかし、ほとんどの一般的なユーザーはアプリケーションまたはクラウドサービスを使用する可能性が高いでしょう。これが最も簡単であり、さらに、SolarEdgeはローカルアクセスを制限しようとしており、それによってユーザーをクラウドサービスの使用に向かわせるようです。
どうしてそれが分かるのでしょうか?ホームオートメーションシステムHomeAssistantの開発者がSolarEdge用のSolarEdge Local統合を開発したからです。このシステムはインバータから直接データを収集します。この統合のドキュメントによると、ローカルAPIインターフェイスは特定のインバータモデルのみサポートしており、同社は一部のファームウェアアップデートでこれらのインバータのWiFi接続を通じたローカルAPIインターフェイスを無効にし始めたため、統合は機能を停止するか、またはインバータをケーブルで接続する必要がありました。
要するに、イスラエルの企業SolarEdgeは、販売した太陽光発電所から多くのデータを収集し、そのデータはイスラエルに収集されます。同時に、同社はインターネットを通じて、太陽光発電所のファームウェアをリモートで更新することができ、当然のことながら、設定も変更できます。
したがって、太陽光発電所にリモートで悪意のあるコードをインストールしたり、例えば出力電圧を上げたり、すべての発電所を同期してグリッドから切断したり(それによってスペイン最近で起こったように電力網の崩壊を引き起こす)、または火災を引き起こすことが理論的に可能でしょうか?私たちは知りません。しかし、これは確かに知るべきことです。
もちろん、私はメーカーがそのような悪意のあるコードをインストールしたいと主張していません。しかし、サプライチェーンのセキュリティに関する非常に正当な疑問が提起されています。つまり、誰かがSolarEdgeのクラウドサービスに侵入し、そこからデータにアクセスしたり、悪意のある更新を準備したりすることは可能でしょうか?または内部の誰かがそれをすることができるでしょうか?これも知りません。しかし、SolarEdgeは過去にセキュリティの脆弱性を持っていたことが分かっています。具体的には、Android用のSolarEdgeアプリケーションが正しくデジタル証明書を検証していなかったため、このセキュリティの脆弱性により中間者攻撃(machine-in-the-middle attack)が可能でした。(注:SolarEdgeはすでに脆弱性を修正しました。)
サプライチェーンセキュリティの重要性は、2024年9月のレバノンでのHezbollahポケベルの爆発の例でも示されています。このとき、イスラエルはHezbollahのメンバーに爆薬を仕込んだポケベルとトランシーバー(walkie-talkie)を提供し、その後リモートで爆発させました(レバノンの太陽光発電所の爆発についてのレポートも後で出現しましたが、ポケベル攻撃との直接的な関連を示す証拠はありません)。その後の分析では、ポケベルメーカーは攻撃にはまったく関与していなかったことが明らかになり、サプライチェーンが侵害されていたのです。
結論
重要インフラの一部である機器のセキュリティは確かに重要なテーマです。しかし、現在の地政学的状況を考えると、スロベニアの太陽光発電所の国家安全保障の側面をより深く調査する必要があるかもしれません。
翻訳元: https://telefoncek.si/2025/05/2025-05-26-varnost-soncnih-elektrarn-in-geopolitika/