クラウド上にある巨大で規制のない発電所
(berthub.eu)- 消費者・企業向けの太陽光発電設備が少数メーカーのクラウド管理プラットフォームに結び付けられたことで、オランダだけでも中規模原子力発電所少なくとも25基分の出力が遠隔制御の対象になっている
- インバーターはアプリ、Webサイト、メーカーのサーバーを経由して統計のアップロード、電源制御、ファームウェアアップデートを行い、この中央経路が数百万件の設備を同時停止させるリスクにつながっている
- オランダのTSOであるTenneTは、電力網が3GWの擾乱を吸収できると見ているが、オランダの太陽光発電設備容量は25GWを超え、あるインバーターメーカーは世界で195GWを制御している
- 個別のインバーターと物理的な接続には規則がある一方で、中央管理Webサイトは電力網の一部ではなく一般的なWebサイトのように扱われ、エネルギー法規による強い監督をほとんど受けていない
- NIS2とCyber Resilience Actが規制の空白を縮小するには、加盟国での実装において、大規模な太陽光発電管理者と遠隔制御・アップデート権限を明示的に含める必要がある
集中化された太陽光発電管理が生んだ電力網リスク
- 最近、オランダのハッカーが400万枚の太陽光パネル設備を制御できる状態にあり、同様の事件は以前にもあった
- 関連する報道と解説は FTM、Euractiv、Victor Gevers、PV Magazineで見られる
- 中核的なリスクは個々の太陽光パネルではなく、多数の設備が少数企業の中央管理プラットフォームに集中している構造にある
- オランダの太陽光パネル出力は中規模原子力発電所少なくとも25基に相当するが、欧州にはこうした中央管理者に対する法律や規則がほとんどない
- クラウド管理プラットフォームは、ミス、ハッキング、または意図的な行動によって数百万枚の太陽光パネルを同時に恒久停止させることができ、これは欧州の電力網崩壊につながり得る
- オランダの電力網運用者であるTenneTの確認と倫理的ハッカーたちの発見により、このシナリオは単なる仮定にとどまらない
電力網のバランスが崩れたときに起きること
- 欧州大陸同期電力網は欧州の大部分とその周辺を統合し、数千の大規模発電所と風力・太陽光発電設備の容量を共同で利用できるようにしている
- 電力網では、入ってくる電力と使用される電力が常に正確に一致していなければならない
- 電力が多すぎると周波数が上がり、過電圧が発生する可能性がある
- 電力が不足すると周波数が下がる
- 保護のために国の一部または全体が切り離されることがあり、その後の復旧も難しくなる
- 大規模発電事業者には高い基準が適用される
- 発電所は監視対象である
- 機器は複数の要件を満たさなければならない
- 人員は適切な資格と認証を持たなければならない
- 事故調査や罰金の賦課が可能である
- 一方で、中央管理プラットフォームが束ねている欧州の太陽光発電の巨大な出力は、同じ水準では規制されていない
規制されている領域:インバーターと物理的接続
- 太陽光パネルは電力網に直接接続されるのではなく、間にインバーターが入る
- インバーターはパネルの電力を、電力網が処理できる形に変換する
- インバーターには規則があり、たとえば地域の電力網が過負荷になったとき、設備が自ら切り離されなければならない条件がある
- 関連する規則はRules for Generatorsの Article 13である
- オランダは、ベルギーの Synergrid が承認したインバーターのみを設置するよう定めている
- 関連するリストは NetbeheerNederlandの告知にある
- ただし内部関係者によれば、この規則は執行されておらず、多くの機器が電力網に接続されている
- 個別のインバーターは、より広い電力網に大きな被害を与えにくいため、この部分だけを見れば比較的管理可能な領域である
規制の空白:メーカーのクラウドと遠隔制御
- ほとんどのインバーターは直接または間接的にインターネットへ接続され、メーカーと通信し、太陽光パネルと発電量の統計をアップロードする
- パネル所有者はアプリやWebサイトでメーカーのサーバーを経由し、自分のパネルの状態を確認する
- 技術的にはすべての機能をメーカーのサーバーで処理する必要はないが、多くの消費者向け機器はこの方式で設計されている
- 監視カメラや最新の自動車も似た例に当たる
- アプリやWebサイトは状態確認だけでなく、パネルをオン・オフする機能も持ち得る
- メーカーの経路を通じて、インバーターに新しいソフトウェア・ファームウェアを自動または手動でインストールすることもできる
- ユーザー向けアプリに電源ボタンがなくても、設置業者や修理技術者向け機能として電源制御がサポートされている場合がある
中央制御が実際の被害につながる経路
- すべてがメーカーを経由するため、メーカーはすべてのパネルをオン・オフでき、インバーターに誤った電流を電力網へ流すようなソフトウェアをインストールすることもできる
- メーカーが意図的にそうしなくても、アップデートの不具合だけで大きな問題が起き得る
- CrowdStrikeもソフトウェアを自動インストールしており、最近のアップデート不具合で世界中の数百万台のコンピューターが停止し、復旧に数日と数十億ドルを要した
- メーカーがハッキングされれば、攻撃者が制御する不正なソフトウェアアップデートがインバーターへ配布される可能性がある
- オランダの倫理的ハッカーであるWietse BoonstraとHidde Smitは、メーカーの許可なく太陽光パネル設備内のソフトウェアを修正することに成功した
- 関連する脆弱性は CVE-2024-21881に紐付いている
- ソフトウェアが設備内部で修正されると、電力網に及ぼす被害が大きくなり、復旧もはるかに遅くなる可能性がある
規模が電力網の調整能力を超えている
- 電力網には不均衡を調整するため、電力を増減できる発電源が待機している
- 細かな調整に加え、発電所の故障のような事象を比較的速やかに吸収するためのより大きな容量もある
- TenneTの balancing marketsの説明が例として使われている
- 太陽光インバーターメーカーは、家庭や企業の屋根にある数百万件の設備の電源をオン・オフできる
- TenneTは、オランダの電力網が3GWの擾乱を吸収できると述べている
- オランダには大規模設備も含めて25GWを超える太陽光パネルが設置されており、3GWを大きく上回る
- あるインバーターメーカーは世界全体で195GWを制御しており、そのうち約半分が欧州にあると推定されている
法的空白と可能な解釈
- 原子力発電所数十基を同時に停止できる制御盤があるなら安全規制と検査の対象になるが、家庭用インバーターと太陽光パネルは一般消費者向け機器として扱われている
- 個別の設備だけを見れば大きな被害を出しにくいという点で、消費者向け機器として扱うことは理解できるが、管理が少数の供給者に集中すると状況は変わる
- Securaがオランダの Topsector Energie 向けに作成した報告書は、状況把握に重要な資料である
- 現場のパネルは個別に軽い規則に従う必要があるが、パネル管理Webサイトは電力網の一部ではなく、単なるWebサイトのように扱われている
- 中央管理会社を「誕生日カレンダー管理者」ではなく電力網管理者のように見ることもできるが、そのためには既存法を非常に創造的に読む必要があるかもしれない
NIS2とCyber Resilience Actの役割
- EUレベルの新しい指令であるNIS2は加盟国で実装中であり、エネルギーを「Very Critical Sectors」カテゴリに含めている
- 加盟国がNIS2を実装する際には、多数のパネルをオン・オフしたりアップデートをインストールしたりできる太陽光パネル管理者が適用範囲に入ることを明示すべきである
- Cyber Resilience Actはインバーターやパネルのような機器に焦点を当てているが、機器が中央制御盤・アプリ・サービスなしには動作しないのであれば、これらも含まれる可能性がある
- SolarPower Europeは、NIS2の広範なサイバーセキュリティ原則の下で、太陽光発電分野に特化した要件が必要だと見ている
- その要件は、電力網を擾乱させるのに十分な容量を制御する主体に適用されるべきである
- 関連文書は SolarPower Europeのポジションペーパーにつながっている
- SolarPower Europeはオーストラリアとドイツにはすでに規則があると述べたが、少なくともオーストラリアはそれを執行していないという
中央接続を減らす代替案
- 太陽光パネルは必ずしも中央クラウドに接続される必要はない
- インターネットなしでも自分の設備に直接接続して発電量グラフを見ることができ、筆者の古いパネルもインターネットには接続されていないがグラフを提供している
- カメラ、洗濯機、ヒートポンプ、自動車・充電ステーション、家庭用バッテリーにも同様の方式のほうがよい可能性がある
- ヒートポンプ、自動車・充電ステーション、家庭用バッテリーには、電力網を擾乱させる能力もある
- 中間段階として、制御盤はグラフの提供にとどめ、パネル・充電器・バッテリーを遠隔でオン・オフできないよう求めることができる
EUレベルの明示的な規制が必要
- 少数の大規模な非EU企業がエネルギー供給のかなりの部分を制御できるにもかかわらず、彼らがエネルギー法の適用を受けていない状況である
- 既存法の中に解決可能性を探す方法は難しそうに見える
- NIS2とCyber Resilience Actは、中央管理プラットフォームにより厳格な規則を適用できる候補である
- 加盟国での実装において中央管理主体が適用範囲に入ると明示すれば、疑義を減らせる
- 個別国の法律だけでは巨大な非EU企業を扱うのに十分でない可能性があり、EU域内の協力が不可欠である
1件のコメント
Hacker News の意見
オランダの太陽光パネルが中規模原発25基に相当するというのは怪しいと思って確認したところ、筆者は定格容量を見ている。変動の大きい電源にはほとんど役に立たない指標。日光のない地下室にある太陽光パネルも、サハラ砂漠に設置した同じパネルと定格容量は同じ
実際の年間発電量を見ると、平均的な原発1.5基程度に近い。2023年のオランダの太陽光発電量は21TWhで、2021年の米国の原発発電量は54基で778TWhだった
この程度なら実際のリスクをよりよく見積もれる。規制とセキュリティ慣行を大幅に改善すべきだという点には同意するが、適切な電柱に大型トラックを突っ込ませても、同程度の停電は起こせそうだ
その瞬間、攻撃者は太陽光パネルの全出力を電力網に押し込むだけでなく、接続されたバッテリーも新しいファームウェアで安全装置を迂回し、完全放電モードにできる。最悪の場合、攻撃者はインバーターだけでなく、バッテリー、太陽光パネル、ヒューズ、変電所まで物理的に壊そうとする可能性がある。インバーターが焼けて火災が起きるなら、攻撃者にとってそれはバグではなく機能だ
だから中規模原発25基分どころか、実際にはそれをはるかに上回る可能性が高く、再生可能エネルギーへの移行が進むほど、この数字は毎年幾何級数的に大きくなる
最近見たセキュリティ暴露の中でも最も恐ろしい部類に入る。iPhone のゼロデイよりはるかに深刻だ
悪質な iPhone のバグなら、緊急通報ができずに数人が死亡し、世界中に数十億ドル規模の分散した経済被害を与えるかもしれない。だがこの一連のバグは、猛暑の中で変電所を吹き飛ばし、数千から数百万の世帯、事業所、工場に停電を起こして、数万人を死なせる可能性がある。経済被害もはるかに大きく、特定地域に集中する可能性が高い
攻撃や障害で重要な指標は総発電量ではなく、瞬時出力だ。ある電源が突然脱落したとき、他の発電所の回転予備力が吸収しなければならない量だからだ
記事に出てくる中規模原発である Borssele の純出力は485MWe。したがって実際に中規模原発25基以上の話をしていると言ってよい
他の人が言っている内容に加えて、ここでも2倍程度の差が出る可能性がある。記事でも「中規模」と言っているので、3倍程度と見てもよさそうだ
厳密な一対一の比較ではないという指摘は理解できる。それでも雲のない夏の日には、劣化や容量の問題を除けば、実際の出力は明記された数値に近いはずだ。オランダは小さいので、全国が同時に雲のない日を迎える可能性も低くない
夏にはある程度の日照を見込んで、冬に使うガス火力の一部を整備に回したり、将来的には夏季の水素生産を前提にしたりすることもあり得る。ただしハッキングは一時的な問題である可能性が高いので、その点で大きな問題は予想していない
IoT クラウドシステムで働いている。メーカーのサーバーを経由するようにした理由は、消費者も設置業者も、自分のネットワークや外部からアクセス可能な機器を設定する専門性をまったく持っていないからだ。家の外からでもパネルにアクセスしたがることもある
自分にはできるし、HN 読者の大半もできるだろうが、一般消費者や設置業者にはできない。残念だが事実だ
プログラミングの観点でもその方が単純だ。クラウド同期プロトコルとローカル制御プロトコルを別々に持つ必要はなく、ローカルプロトコルを1つ作り、直接接続できないときだけ愚直なクラウド経由でトンネルすればよい
40フィートコンテナ型バッテリー用のコントローラーを作ったことがあるが、Hitachi からバッテリー API を受け取ったわけではなかった。すべて自分で書かなければならなかった
計測データをリアルタイムで見たいというのは理解できるが、パネルを遠隔制御するのはセキュリティ事故が予約されているように見える。インターネットに接続されていないインバーターを使っているので、かなり幸運だと感じている
電気も水もどちらもオフグリッドで暮らしているのですが、インバーターに付属してきたモニタリングがオンラインでしか使えない点が本当に腹立たしかったです。ネットワークがあってもアプリは動作しません
Raspberry Pi をつないでそこで読み取るようにして解決しましたが、インバーターをインターネットから切り離すと新しいネットワークを作ってしまいます。なので今では、誰もいない辺境の真ん中に、消せない公開ネットワークが常に立っています
開けて WiFi モジュールをはんだ除去しようかとも考えていますが、どうせ数年以内に交換する予定なので、うっかり壊したくはありません
WiFi モジュールからアンテナだけ外しても十分かもしれません。ネットワーク接続を妨げる助けになります
「0.002MW - 小さな技術標準の束、学位や資格は不要」のような表現には注意すべきです。特に政治家や非技術者を巻き込むときはなおさらです
現在の、犯罪的な放任に近い IT インフラの惨状の大半は、学位を持つ人々が作り、推し進めた結果であり、名門大学出身者も含まれます。先週末の HN 上位記事の一つは、最も有名なテック企業の幹部出身の政府顧問が、Stanford の学生に非倫理的に振る舞い、その後で弁護士を雇えるだけの金を稼いで結果を消せ、と助言した内容でした
現在ある資格の多くも個人認証であり、たいていは意味のないベンダー研修とロックインに近いものです。同じ人たちが、犯罪的な放任に近いベンダーのシステムを組み立て、運用しています。IT プラクティスの認証も、実際に十分な能力を保証するというより、責任逃れを可能にするコンプライアンスごっこに近いものです
修正を始めるには、企業に責任を負わせる必要があると思います。たとえば CrowdStrike は最悪の事例ではありませんが、最近の事例です。これを過失とみなし、すべての費用について責任を負わせれば株価は崩れるかもしれず、経営陣と組織上層部は、深刻な捜査が進む間、懲役の可能性を恐れるべきです
ルールが変わったと分かれば、他社の投資家や役員たちも利害がそろい始めるでしょう。次には組織図や慣行全体が大きく揺さぶられるかもしれません。企業が、転職文化、履歴書主導開発、LeetCode 社交クラブ文化、IT ベンダーの店舗型領地のような文化を潰さなければならないと気づくからです
一部の企業は右往左往した末に消えるかもしれません。以前のゲームに最適化された人があまりに多く、新しい責任のゲームでも、うまくいくまでごまかす以外にキャリアの選択肢がないと感じ、逆説的に会社を一緒に引きずり下ろす可能性があるからです
ミスへの処罰がチェルノブイリ事故につながりました
クラウド/IaaS プロバイダー間には競争が見えますが、実際にデータセンターとネットワークを建設しなければならず、ある程度の価格下限があるためです。しかし「アンチウイルス」領域では CrowdStrike が事実上市場を掌握でき、その下流の組織や顧客は、本当に独立したホットスペアのバックアップを置いたり、CS のシグネチャ更新をまずテスト環境で通信させたりする特別な手順を正当化するのが困難です
詳しく描写した文化的な症状は、実際の経済活動が複数の費用便益の最適点の間で揺れ動く上に生じた泡、つまり許容された経済的非効率に近いものです
ここから抜け出すのは非常に困難です。IT は全般的に十分標準化されているため、何らかの IT サービスを必要とする企業は結局コスト基準で選ぶことになり、自社の業界の他社が選ぶものを選ぶことになります。プロバイダーが複数あっても、結局同じ技術へ収束する場合が多いです。ソフトウェアだからです。こうすると顧客の財務リスクは下がりますが、実際の世界的・体系的リスクは大きくなります
推論のない知識は官僚主義に陥る道です
目を見開かされる記事だった。再生可能エネルギーの論拠の一つは、排出量削減に加えて、電力生産を分散化できる可能性があるというものだった。よりレジリエントにし、生産手段を民主化する、というような話だ。
しかしこの記事は、私たちが意図せず新たなボトルネックを導入してしまったことを示している。世界の安全保障環境まで考えると、さらに心配になる。
再生可能性と分散性は別々の軸だ。
だから自家消費や半自律システムを推進する代わりに、送電網接続やクラウド接続のゴミを押しつける。誰かのサービスに縛られ、その奴隷にさせるのだ。「2030年には何も所有しなくなる」は、すでに現代の自動車で現実になっている。メーカーは形式上の所有者よりはるかに高いアクセス権を持ち、OEMにつながっており、最新のIoTやクラウド+モバイルのゴミも同じだ。人々は手遅れになるまで、自分が所有していないことを理解しない。
もう一つの単純な例として、世界のほとんどの銀行には、銀行間の自動取引交換のための公開標準がある。EUではOpenBank APIであり、署名付きXMLとJSONフィードがある。顧客が個人のデスクトップクライアントからこうしたAPIを直接使えないようにする理由はない。私の知るすべての銀行は、こうした利用を妨げている。だから銀行が署名した全取引履歴を自分の機器に保管できず、手元には何もない。深刻な問題が起きたとき、銀行に何があり、お金で何をしたのかを証明するものがない。昔は紙の書類があり、今は偽造がずっと難しい署名付きXML/JSONのほうが紙より優れているが、99%の人が何も所有してはならないので、そこから排除されている。
SIM入りのコネクテッドカーもある。だが車が形式上の所有者に直接APIとクライアント、あるいはWebUIを提供する代わりに、OEMを経由しなければならない。実質的な所有者はOEMというわけだ。車を接続解除することすらできない。EUでは、新車が接続解除されること自体が違法ですらある。緊急e-callサービスがすべての新車で有効になっていなければならないからだ。
こういうことが続いている。
この記事は、担当者には学位、資格、その他の儀礼的な紙切れが必要だと繰り返し述べている。
リスクを減らすために書類上の資格に集中するのは、非常に欧州的なアプローチに見える。間違っているという意味ではなく、他の地域ではそこまで強く強調されないということだ。安全への期待値が高い、動きの遅い産業にはよく合っているように見えるが、太陽光・風力の世界は動きの遅い産業ではない。
この分野での経験からすると、本当の問題は「デジタル」領域にまで広く及ぶ技術的な認識と能力が不足している点にあると思う。こうした製品は通常「電力」領域の人たちが開発しており、彼らは512ビットRSAが #badthing であり、一カ所から制御可能な集合エネルギーシステムを保護するには十分でないことにすぐ気づくわけではない。
こういうところに正式な学位や資格が必ず必要というわけではない。実際に手を動かした知識と経験のほうがはるかに役に立つ。
製品にネットワークインターフェースが付いたり、プログラム可能なファームウェアが動いたりするなら、A/Bブート、署名、鍵の廃棄、耐量子暗号アルゴリズムを可能にする暗号アジリティのような議論が出てくるべきだ。だが実際の焦点は、製品を素早く市場に出すため、できるだけ安いベンダーのサーバーバックエンドAPIで制御されるモバイルアプリを低コストで開発することに向けられている。
パッチを当てず最新状態を維持しない組み込みシステム的な発想については、触れないでおこう。組み込みシステムは、今でもLinux 2.4や2.6に出会える場所だ。ベンダーはCPUチップセットのベンダーがボードサポートパッケージとして投げてきたコードを、概ねそのまま載せて出荷する。
述べたように、こうした問題の多くは商業的・価格主導の問題に見え、書類作業で解決される可能性は低そうだ。
EUには、どんな種類の発電所であれ、特にサイバーセキュリティに関する規制要件はないのだろうか。
私は自宅でも職場でも、第三者のデータ接続機能を必要とするシステムは、どんな環境にも入れない。
プロバイダーやクラウドなど、接続を要求する側がさまざまな理由で失敗した事例があまりに多い。たとえばCisco Spark Board、Xerox ConnectKey、Google Cloud Print、WeWork接続デバイス、Lattice Engines、MS Groove Music Pass、Shyp、Adobe Business Catalyst、Samsara、Zune、FuelBand、Anki Vector Robot、Google Stadia、Pebbleなどだ。
それでも、太陽光だけを特定して規制することには非常に慎重であるべきだと思う。
施工業者がSolarEdgeのインバーターを取り付けたが、クラウドに接続させずにGrafanaへデータを入れるのにかなり苦労した。ネットワークエンジニアだったので可能だったが、もっと簡単であるべきだ。
リモート管理は禁止し、リモートからは読み取り専用のデータ参照だけを可能にする規制が必要だという点には同意する。インバーターがひたすら書き込むだけの一方向RS232接続によって、インターネットゲートウェイとインバーターを事実上エアギャップにすることもできる。送電網運用者が太陽光を停止させる必要があるなら、自分たちのインフラで制御されるリレーを設置すべきだ。
メーカーを通じてインバーターに新しいソフトウェア、つまりファームウェアを自動または手動でインストールできるという点は、いつものことながらリモートアップデートを可能にする際の脆弱性です。人々はいつ学ぶのでしょうか。アップデートは、デバイスに物理スイッチがある場合にのみ可能であるべきです。ソフトウェアスイッチではなく物理スイッチです。「オフ」なら、いかなるアップデートも不可能であるべきです
最も破壊的な攻撃ベクトルは、リモートでマルウェアをインストールすることではないでしょうか。ハードウェアスイッチがあれば、そのようなマルウェアはデバイスの再起動後に生き残れません
ハードディスクに書き込み許可ジャンパーがあった時代を覚えています。バックアップを作ったあとジャンパーを外せば、大事なバックアップを誤って、あるいは悪意をもって上書きすることは不可能でした
要約すると、消費者向け・企業向け太陽光パネルの大半は少数の企業が中央管理しており、その多くは欧州外の国にあります。オランダだけでも、これらの太陽光パネルは中規模原発少なくとも25基分に相当する出力を出しています。欧州には、こうした中央管理者を扱う規則や法律がほとんどありません。ヒートポンプ、家庭用バッテリー、EV充電器も同様です
より大きな賭け金がかかったIoTと非常によく似ているように見えます。この記事は、インバーターと電力網の間の信頼問題をよく示していて良かったです
顧客のインバーターが正しく動作すると信じる以外に、ハードウェアレベルで電力網を安全にする方法があるのか気になります。素朴な疑問ですが、電力網事業者の装置は過電流や同期していない周期を防げるのでしょうか?
しかし過電圧を防ぐ実用的な方法はほとんどありません。そのため、ある通りのすべての太陽光発電システムを掌握した悪意ある制御器は、消費者向け機器にかなり大きな被害を与えられます
電力会社の観点での問題は、配電変圧器の両側の遮断器を落としても、240V配電側が作業して安全だと、もはや保証できないことです。したがって、240V配電システムでのあらゆる作業は、システムが通電していると想定して行う必要があります
最終的には、必要であれば家庭用建物への大量の太陽光発電設置に対応するよう規制が更新されるでしょう