世界中の配電機器に使用されている安全装置で「ハッキングされて電力を遮断される脆弱性」が見つかる

インターネットセキュリティ企業・Red Balloon Securityの創設者であるアング・キュイCEOが、世界中の配電機器で電線を保護するために使用されているコンピューターに、ハッキングが可能になる脆弱性が存在すると指摘しています。

Researchers Show How Hackers Can Cut the Lights With Rogue Code - Bloomberg
https://www.bloomberg.com/news/articles/2022-01-11/researchers-show-how-hackers-can-cut-the-lights-with-rogue-code

キュイCEOが率いるRed Balloon Securityのセキュリティチームが調査したのは、最新の電力網において運用における安定性のカギとなる安全装置。この安全装置は「保護リレー」として知られるもので、配電機器に異常な電流が流れた場合に、電力を遮断することで機器の損傷を防ぐというものです。

Red Balloon Securityがこの保護リレーについて調査したところ、フランスの世界的電気機器メーカーであるSchneider Electric製の「EasergyP5」という保護リレーで脆弱性を発見したとのこと。脆弱性の存在はすでにSchneider Electricに通達済みで、同社はソフトウェア修正プログラムを公開済みです。

セキュリティチームはEasergyP5で発見された脆弱性を用いることで、EasergyP5をハッキングして遠隔操作で電力網を遮断することができたと主張。また、複数台のEasergyP5に対して同時に攻撃が行われた場合、長時間の停電が発生する可能性もあるとキュイCEOは語っています。

Schneider Electricの広報担当者は「EasergyP5に存在する脆弱性を認識したのち、我々はすぐに問題の修正に取り組みました」「製品ユーザーには情報開示プロセスの一環として、1月11日のセキュリティ通知で問題に関するガイダンス(問題に対処するためのソフトウェアパッチを含む)に従うことを推奨します。ユーザーがシステムを保護するには、運用全体に一般的なサイバーセキュリティにおけるベストプラクティスを実装する必要があります」と述べています。

Red Balloon SecurityはSchneider Electric以外の保護リレーについても調査を行っていますが、深刻な問題は見つからなかったとのこと。キュイCEOは、リモートアクセス可能なコンピューターネットワークにおける欠陥について「非常に現実的な物理的影響を与えるサイバー兵器に利用できる」と述べています。加えて、「ベンダーはセキュリティに関してはるかに優れた取り組みを行う必要があります。具体的には、ファームウェアに堅牢なセキュリティを組み込む必要があります」と語り、これまで以上のセキュリティ対策が必要になるとしました。

一方で、サイバーセキュリティ企業・Mandiantのテクニカルマネージャーであるクリス・シストランク氏は、リスクを誇張してはいけないと警告。EasergyP5のような保護リレーが故障した場合、影響を受けた顧客の電力を数時間以内に復旧することができると語っています。

なお、EasergyP5のような保護リレーは、通常ネットワークファイアウォールの背後に置かれており、パブリックインターネットに直接接続されていないため、ある程度「保護された状態」にあると言えます。しかし、高度なハッカーはネットワークの構成ミスを悪用したり、物理的な障壁を回避したりすることで、最終的に保護された機器にアクセスする方法を見つけ出すため、より高度なセキュリティが必要になるというわけです。