アメリカのサイバーセキュリティ機関CISAは、テキサス州に本社を置くEG4エレクトロニクス社の太陽光インバーターにセキュリティ脆弱性があると発表しました。この脆弱性により、攻撃者が同じネットワークにアクセスし、インバーターのシリアル番号を利用してデータを傍受したり、悪意のあるファームウェアをインストールしたり、システム全体を制御したりする可能性があるということです。
EG4のインバーターを使用している約5万5千人の顧客にとって、この発表は不安を呼び起こすものでした。現代の太陽光インバーターは単なる電力変換装置ではなく、家庭のエネルギーシステムの中核として機能し、性能を監視し、電力会社と通信し、余剰電力をグリッドに戻す役割を果たしています。
EG4エレクトロニクス社のCEO、ジェームズ・ショーウォルター氏は、自社のセキュリティ基準の不備を認めつつ、これは業界全体の問題であるとしています。彼は2019年以降、商業および住宅用途で88件の太陽光エネルギーの脆弱性が報告されていると述べています。
今回の脆弱性の指摘は、再生可能エネルギー機器のサプライチェーンセキュリティに対する広範な不安と重なっています。米国エネルギー当局は、中国製の機器に未確認の通信装置が発見されたことを受けて、リスクの再評価を行っているということです。
EG4社は、顧客の懸念に対応するため、中国の供給元からドイツなど他国の部品へ移行する方針です。しかし、CISAが指摘した脆弱性は、単一の企業の問題を超え、家庭用太陽光発電システム全体のセキュリティに関わる問題を提起しています。
NIST(米国標準技術研究所)は、大規模な家庭用太陽光インバーターを遠隔操作して何らかの悪意ある行動を行うと、電力グリッドに壊滅的な影響を与える可能性があると警告しています。
ショーウォルター氏は、CISAとの協力を「信頼の向上」と捉え、脆弱性の対応を進めています。EG4社は、ファームウェアの更新プロトコルの改善や、技術サポートの認証手続きの再設計を行い、10件の懸念事項を3件に減らしたとしています。
しかし、一部の顧客は、セキュリティ上の問題に対する同社の対応に不満を抱いています。これにより、太陽光発電システムの採用者は、予期せぬサイバーセキュリティの課題に直面しているということです。