2025年3月、サイバーセキュリティ企業Forescoutは、Sungrow・Growatt・SMA製の太陽光発電システムにおいて多数の脆弱性を発見したと発表しました。
これらの製品は欧米を中心に広く導入されており、制御を奪われることで電力網そのものにリスクが及ぶ可能性があると警鐘を鳴らしています。
目次
発見された脆弱性の概要
Forescoutの調査では、太陽光発電システムの中でもインバーター(直流→交流変換装置)やクラウド接続部分、通信モジュールなど、IT/OTが融合する領域に脆弱性が集中していました。
以下は主要メーカーごとの主な問題点です。
■ Growatt(30件以上の脆弱性)
-
クロスサイトスクリプティング(XSS)
-
情報漏洩
-
リモートからのデバイス乗っ取り
-
物理的ダメージを誘発する可能性のある操作
特にXSSのようなWeb脆弱性を通じて、管理画面の乗っ取りや設定改ざんが可能になるリスクがあります。
■ Sungrow(十数件)
-
IDOR(Insecure Direct Object Reference)による情報漏洩
-
DoS攻撃(サービス妨害)
-
リモートコード実行(RCE)
広範囲なインバーターが影響を受ける可能性があり、遠隔からの制御奪取による電力網の不安定化が懸念されています。
■ SMA(1件)
-
クラウド管理サーバーへの任意コード実行
単独の脆弱性であっても、クラウド環境での実行権限奪取は非常に深刻な影響をもたらす可能性があります。
影響とリスクのシナリオ
Forescoutは以下のような被害シナリオを示しています:
-
大量のインバーターが同時に制御不能にされ、広域の電力供給が不安定化
-
ユーザーの個人情報や発電量データの漏洩
-
侵入されたシステムを足がかりに、同一ネットワーク上の他機器に横展開
-
エネルギー価格操作やランサムウェア被害による金銭的損失
攻撃者にとっては、送電網の重要インフラを標的としたサイバーテロの足掛かりになり得る領域です。
各社の対応状況
| ベンダー | パッチ対応状況 | 備考 |
|---|---|---|
| SMA | 全脆弱性に対して修正済み | CISA(米国)からも勧告 |
| Sungrow | 全脆弱性に対して修正済み | 同上 |
| Growatt | 一部のみ修正、多くは未対応(2025年2月時点) | 注意が必要 |
特にGrowatt製品を利用中の組織では、迅速な影響調査と追加対策が必要です。
一般的なセキュリティ対策
上記のような脆弱性に対する一般的な対策は以下です。
-
初期ID・パスワードの変更
-
ファームウェア/ソフトウェアの最新化
-
不要な機能の無効化
-
バックアップの定期取得
-
通信経路の暗号化
一部参照
https://www.forescout.com/resources/sun-down-research-report/
関連記事
SonicWallのSMA1000の管理コンソールで脆弱性、緊急アップデートを実施(CVE-2025-23006)
SolarWindsの重大なバグがサイバー攻撃に悪用(CVE-2024-28986)
Jenkins の脆弱性がランサムウェア 攻撃に悪用(CVE-2024-23897)
ロサンゼルス郡上級裁判所がランサムウェア攻撃により閉鎖
VSCodeで約900万回ダウンロードされていた拡張機能へのマルウェア 混入疑惑は誤検知
100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)
新たなWindowsゼロデイ脆弱性がNTLMハッシュを漏洩、非公式パッチがリリース
GitLabの脆弱性(CVE-2023-7028)を悪用したアカウント乗っ取りが発生
Microsoft Outlookの重大な脆弱性がゼロデイ攻撃に悪用される可能性(CVE-2024-21413)