古いWindowsやLinuxが使われている風力発電所

 米Tulsa大学のセキュリティ研究者であるJason Staggs氏は風力発電所のコントロールシステムには複数の脆弱性が存在しており、サイバー攻撃を許す恐れがあると指摘した。特に問題視したのは風力発電装置(風車)を遠隔操作する「PAC(Programmable Automation Controllers)」と呼ばれる機器だ(写真3)。

写真3●風力発電装置(風車)をコントロールする「PAC」の問題点
写真3●風力発電装置(風車)をコントロールする「PAC」の問題点
[画像のクリックで拡大表示]

 Staggs氏によれば、PACには古いバージョンのWindowsやLinuxが採用されており、これらOSの脆弱性が残ったままのケースが多いという。またPAC上で稼働する各プログラムはルート権限で動作しているものの適切な認証機構や暗号化などがないため、プログラムが乗っ取られるとシステム全体が乗っ取られてしまう危険性を抱えている。

 さらに風力発電所にはネットワーク構成の脆弱性もあるという。風力発電所は複数の風車で構成されており、風車やそのコントロールシステムはネットワークでつながっている。このネットワークはシステムごとに適切に隔離されていないため、ある風車のPACが乗っ取られると他の風車にも攻撃が波及する恐れがあるという。

風力発電所をランサムウエアが狙う近未来

 風力発電所は物理的にも脆弱である。風車の多くは電力会社の拠点から離れた郊外に設置されていて、無人で運用されている。そのため風車のコントロールシステムが置かれた機器室に物理的に侵入されて、攻撃用の小型端末を設置される危険性もある。

 Staggs氏はこうした問題点を指摘したうえで、「風力発電所をランサム(身代金)ウエアに感染させて身代金を要求する事件がいつ起こっても不思議ではない」と警告した。風車が1時間停止すると、電力会社は1万~3万ドルの損害を被る恐れがあるためだ。

 2015年12月にウクライナで発生した停電はウクライナ政府の主張が正しければ、ウクライナ政府に対する脅迫という政治目的で実行された可能性が高い。しかし今後は、身代金目的で電力インフラがサイバー攻撃を受ける恐れもある。日本でも電力インフラに対するサイバー攻撃への警戒レベルを高めたほうがよさそうだ。