変電設備で使われる大型変圧器はサイバー攻撃の対象になるのか｜サイバーリスク｜デロイトトーマツグループ

本ページは以下の記事をデロイトトーマツが抄訳し、その内容を基にデロイトトーマツの考察を加えたものです。

Sinclair Koelemij, 2020, June 10, "Are Power Transformers hackable?"
https://otcybersecurity.blog/2020/06/10/are-power-transformers-hackable/

米国政府が送電網にソリューションを提供することを許可されたベンダーをホワイトリスト化し、それ以外を除外することを目的とした大統領令（EO13920）を出したと同じころ、米国の送電会社に輸送中の中国製変圧器が押収され、国立研究所に送られた。

電力業界におけるサプライチェーン攻撃の多くは、偽造品を購入したことによるものである。偽造品の例としては、仕様を満たしていないトランスミッターやバルブがあり、爆発性ガスの存在するエリアに設置されれば、爆発・破裂の可能性がある。また、電子機器ではバックドアを作成するためのネットワーク機器の偽造品があった。さらに中国ではコンピュータ機器にマルウェアがあらかじめ、仕込まれた状態で販売されるなど、悪質な事件が発生している。しかしながら、ここでの「攻撃」は設備の「完全性」を狙った意図的な攻撃というよりも低価格で資産所有者の脆弱性を悪用しているように思える。このようにサプライチェーンを介して産業用制御システムを攻撃するオプションは確かに存在するが、成功したことはない。

しかし、制御システム機器では機能が悪意を持って変更される可能性は常にあるので、セキュリティ侵害とみなし、対処すべきサイバーセキュリティ上の危険性があると考える必要がある。変圧器は前にあげた機器・装置と違い、それを使用した電力網へのサプライチェーン攻撃は別の意味がある。もしも「攻撃」が発生して発見されれば、サプライヤーにとってはビジネスの終わりを意味するため、リスクは高く、発生する可能性は低いと考えるのが妥当である。

現在では多くの産業用制御機器のスマート化が進み、変圧器も例外ではない。変圧器は高い電圧がかかり、重さも400トンを超え、非常に高価な機器であり、電力会社ごとに特注されているものが多い。これが故障して破損してしまうと交換には非常に長い時間がかかるため、機器は安全性や信頼性が求められる。このために変圧器には多くの制御が求められ、これらの制御に対して、「攻撃」が起こるとは思えない。変圧器を製作している会社はビジネスであり、変圧器の製造は非常に大きな売り上げを占める。もし、変圧器の改ざんがばれたら、それはビジネスが立ち行かなくなる。意図的に脆弱性を残すことは可能だが、流通には複数の関係者が関与しているので「攻撃」はうまくいかないであろう。

変圧器に対するサイバー攻撃は可能なのだろうか。答えは「Yes」である。しかし、今回押収された変圧器に悪意のある改ざんを見つけることができるかということには「No」としたい。国立研究所が変圧器の検査をすることは良いことであるが、それを巡って周りが騒ぐことは良くない。

出所：OT Cybersecurity, Sinclair Koelemij, "Are Power Transformers hackable?", 10 June 2020, https://otcybersecurity.blog/2020/06/10/are-power-transformers-hackable/

当該記事に関するデロイトトーマツの考察

米国の電力網では海外からその制御を行っている機器のベンダーのサプライチェーンが狙われてきた。それらの機器を購入する際には品質管理は厳しく行われているが、その機器の機能に対する品質管理が主であり、機能にない付属装置を付けて脆弱性を残すことは可能である。

日本国内で製造している電力機器でさえ、サーバー、プロセッサ、ソフトウェアなどは海外で生産されたものを使用していることがあり、また、電力機器を構成しているソフトウェアや部品等もまた複数のベンダーの製品から構成されている場合もあり、サプライチェーン全体の完全性を保証することは非常に困難である。しかし、サプライチェーン全体を見すえ、リスクに応じた調達・取引手法やコントロールポイントおよびコントロール施策を検討することが今後は求められるだろう。

【キーワード】品質管理、各種試験（現地試験、受入試験）、サプライチェーン、BOM（デジタル化、可視化、一元管理）

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>> オンラインフォームよりお問い合わせを行う <<

監査・保証業務

リスクアドバイザリー

ファイナンシャルアドバイザリー

コンサルティング

税務

法務

グローバルビジネス支援

Deloitte Analytics

Deloitte Private

コンシューマー

資源・エネルギー・生産財

金融

政府・公共サービス

ライフサイエンス・ヘルスケア

テクノロジー・メディア・通信

プライベートエクイティ

キャリア採用

新卒・定期採用

Life at Deloitte

ダイバーシティ

デロイトトーマツアラムナイ

Well-being（ウェルビーイング）

変電設備で使われる大型変圧器はサイバー攻撃の対象になるのか

重要インフラに関する海外サイバーセキュリティニュース

目次

当該記事に関するデロイトトーマツの考察

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスのお問い合わせ

目次

その他の記事

Cyber Security

メディア掲載記事（サイバーセキュリティ）

アカウントのリンク

変電設備で使われる大型変圧器はサイバー攻撃の対象になるのか

重要インフラに関する海外サイバーセキュリティニュース

目次

当該記事に関するデロイト トーマツの考察

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスのお問い合わせ

目次

その他の記事

アカウントのリンク

以前EmailアドレスでMy Deloitteに登録されています。ソーシャルメディアアカウントをリンクするには再ログインしてください。

You've previously logged into My Deloitte with a different account. Link your accounts by re-verifying below, or by logging in with a social media account.

Emailアドレスとソーシャルメディアでログインしたようです。Emailまたはソーシャルアカウントでサインインして、アカウントをリンクします。

当該記事に関するデロイトトーマツの考察