TokyoBlackHatNews

gbhackers.com 4分で読了

インターネット接続型太陽光パネルシステム、迅速なサイバー攻撃に脆弱

太陽光発電インフラの世界的な急速拡大により、前例のないサイバー上の脆弱性が生まれています。

米国のインフレ抑制法(Inflation Reduction Act)や欧州の再生可能エネルギー指令(Renewable Energy Directive)といった政府の取り組みに支えられ、何百万もの家庭、企業、病院が再生可能電力を採用する中で。

セキュリティ研究者は発見しました重大な欠陥を:多くの太陽光システムが、基本的な保護措置を欠く数十年前の産業用プロトコルに依然として依存しており、攻撃者が遠隔からわずか数分で発電を停止できてしまいます。

Cato NetworksのCTRLおよびMDRチームは、パネル出力を直接制御する太陽光ストリング監視ボックス機器に組み込まれたModbusデバイスを標的とする、大規模な偵察および悪用の試みを観測しています。

インターネット接続と自由に入手できるツールだけで、脅威アクターは晴天で雲ひとつない日でも、発電を停止する単純なコマンドを発行できます。

かつては手作業で数日を要したことが、いまや自律型エージェントAIツールによって自動実行できるようになり、攻撃のタイムラインは数週間から数分へと圧縮され、再生可能エネルギー分野は新たなサイバー戦場へと変貌しています。

太陽光発電所は階層化されたインフラで稼働します。太陽光発電(PV)モジュールが発電し、それがストリングとして編成され、ストリング監視ボックスに接続されます。監視ボックスは電力を集約し、性能を測定し、運用を制御するための遠隔コマンドを送受信します。

これらのボックスはSCADAシステムと通信します。SCADAは運用上の「頭脳」であり、発電量を追跡し、故障を検知し、性能の低いストリングを切り離すといったコマンドをオペレーターが送れるようにします。

Image
PVモジュール → ストリング → ストリング監視ボックス → SCADAシステム。

重大な弱点は監視ボックスそのものにあります。これらはModbusを用いて通信します。Modbusは50年前の産業用プロトコルで、セキュリティではなく信頼性を重視して設計されています。

最新のプロトコルとは異なり、Modbusは認証も暗号化も行いません。ポート502にインターネット経由で到達できる者は誰でもこれらのデバイスと通信でき、運用データを読み取り、正規のSCADAオペレーターであるかのように制御コマンドを送信できます。

Modbusを産業用途で魅力的にしたその単純さが、攻撃者にとって理想的な条件になります。本来は正当なエンジニアリング目的で設計された公開ツールが、悪意ある偵察や悪用を可能にします。

NmapにはSCADA向けのスクリプト(modbus-discover、modbus-read、modbus-check-unit-id)が含まれており、露出したデバイスを特定し、有効なユニットIDを列挙し、構成をフィンガープリントできます。

mbtgetやmbpollのようなコマンドラインユーティリティは、レジスタを直接操作し、電圧測定値を読み取ったり停止コマンドを発行したりできます。

Metasploitフレームワークは、自動スキャンモジュールを提供し、露出した太陽光デバイスを数分で数百台規模でフィンガープリントできます。

さらに不穏なのは、HexStrike AIのようなAI搭載の攻撃的セキュリティフレームワークが、これらのツールを自律的にオーケストレーションできるようになったことです。

デバイスインベントリダッシュボード:すべてのOTデバイスとその通信フローを可視化。

Image
 デバイスインベントリダッシュボード.

このようなシステムは、露出したポートを発見し、脆弱な監視ボックスを特定し、書き込み可能なレジスタを列挙し、機械速度で制御コマンドを実行できます。これにより、人手による攻撃は数日から数秒へと短縮されます。

現実世界での影響

これらのツールを備えた攻撃者は、ポート502で露出したModbusデバイスを見つけ、レジスタを列挙し、制御コード(例:SWITCH OFFの0xAC00)を発行して電力ストリングを無効化できます。

Image
Modbusイベントを綿密に監視するオプション.

影響は収益損失にとどまりません。急速なオン・オフの切り替えはインバーターを損傷させたり、火災危険を生じさせたりする可能性があります。需要ピーク時の系統不安定化はシステム全体のリスクを生みます。短時間の中断であっても、事業者には生産損失として数千ドルのコストが発生します。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ITとOTネットワークのセグメンテーション、産業用デバイスのインターネットへの直接露出の回避、継続的なトラフィック監視の実装を推奨しています。

プロアクティブなポート露出アラート、リアルタイムのModbusイベント監視、デバイスインベントリの可視化、ネットワークのマイクロセグメンテーションを提供するセキュリティプラットフォームは、これらの新たな脅威に対する不可欠な防御を提供します。

世界中で太陽光エネルギーの導入が加速する中、これらのシステムを自動化された悪用から守ることは、もはや任意ではありません。世界的な再生可能エネルギー移行の成功にとって根本的に重要です。

翻訳元: https://gbhackers.com/solar-panel-systems/

ソース: gbhackers.com
#AIによる自動攻撃 #Modbus #OTセキュリティ #SCADA #サイバー攻撃 #ネットワークセグメンテーション #ポート502 #太陽光発電 #産業用制御システム(ICS) #重要インフラ防護

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚