アプリケーションノート 5337

スマートメーターのセキュリティ確保

筆者: Kris Ardis

要約: この記事では、スマートグリッド内のエンドポイント(電力会社の警戒が届かない広範囲に配置されたメーターやセンサー)のセキュリティを強化するためのさまざまな手法について検討します。スマートメーターに対する物理的/論理的攻撃などの従来の攻撃の他にも、サプライチェーンに侵入して改変したメーターを電力会社に配備させるようなより周到な攻撃についても考えます。これらの攻撃に対処する技術はすでに存在し、金融支払い処理業界で長年にわたって有効に使用されており、スマートグリッドにも容易に適用することが可能です。

世界各国が先を争ってよりスマートな送電システムを実装する中で、それらのシステムのセキュリティをどうのように確保するかが重要な問題になっています。スマートグリッドのセキュリティについての標準規格はほとんど存在しないという事実にもかかわらず、多くの電力会社は導入を進めており、データの収集と分析を行うITシステム、データを配信するための通信インフラ、および生のデータを生成するスマートメーターやグリッド状態監視システムなどのエンドポイントを配備しています。ここ数年はセキュリティが関心を集めていますが、特にメーターやグリッドセンサーのような「エンドポイント」を保護するために、まだ多くの作業が必要です。この記事では、それらのエンドポイントに対する脅威の例およびそれらの脅威を軽減するために使用可能な技術について概要を示します。
図1. 単純なスマートグリッドモデル―電力会社はエンドポイントからの通信ネットワークを介してデータを収集する。
図1. 単純なスマートグリッドモデル―電力会社はエンドポイントからの通信ネットワークを介してデータを収集する。

脅威

もちろん数多くの脅威が存在しますが、スマートグリッドに対するほとんどの脅威は2つの大きなカテゴリのどちらか一方に該当します。第1のカテゴリは、個人的脅威です。この場合、攻撃者は自分の利益のために(電気料金を安くしたり、不法なドラッグの製造を隠したりするために)スマートグリッドのデータを操作しようとします。個人的脅威は、電力グリッドの管理を混乱させることではなく、個人やグループの立場の改善のみを目的とします。
第2のカテゴリは社会的脅威で、電力グリッドの運用妨害を狙った活動が含まれます。これには、電力会社自体に対する攻撃(グリッド全体のエネルギー消費量を大幅に過小報告することで電力会社の財政難を引き起こす)と、社会全体に対する攻撃があり、後者の極端な例が、電力グリッドを運用不能にして顧客が電力を使用できない状態にするテロリストの攻撃です。電気が失われることによる生産性および財政面の損失は圧倒的であり、極度の高温や低温の環境では実際に人命にかかわる脅威にもなります。

最も弱いリンク

攻撃者は、グリッド全体を調べて攻撃に最適な場所を判断しようとします。それは、攻撃者にとって最小の投資とリスクで、攻撃が目的の結果をもたらす場所です。先ほどの単純な「電力会社-エンドポイント」モデルに戻り、両方の脅威のシナリオについて攻撃者がどのように目的を達成するか見てみましょう。
  1. 個人的脅威:電気料金を安くしたいハッカーを例に取ると、攻撃者は電力会社の制御室に侵入し、自分のメーターから収集された記録を書き換えることによって目的を達成することができます。また、消費量の情報を電力会社に中継する通信に介入することもできます。あるいは、メーターのファームウェアを書き換えて消費電力量を過小報告させる方法もあります。
  2. 社会的脅威:最大数のユーザーへの送電を中断させたいテロリストを例に取ると、攻撃者は電力会社の制御室に侵入し、多数のメーターのリモート切断や特定の変電所からの送電停止を命令することが考えられます。また、通信バスに命令を挿入して上記の操作を行うコマンドを送信させることもできます。あるいは、メーターの制御を奪ってリモート切断リレーを作動させるように直接プログラムしたり、センサーを制御して偽の情報を電力会社に提供し、グリッドの特定の区画をシャットダウンする必要があると思い込ませる方法もあります。
このような単純なモデルでも、グリッドのすべての主要部分(電力会社の制御室、通信ネットワーク、エンドポイント)に対して、両方のタイプの脅威が現実化する経路が存在することが分かります。セキュリティの改善は3つのセグメントすべてに役立つのは確かですが、現実的な作業工程として、最も弱いリンクを特定して対処する必要があります。なぜなら、我々の敵もそこを狙うるからです。彼らは、目的を達成するための最も容易な入り口、すなわちスマートグリッドの中の最も弱いリンクを探します。
現在の3つの主要セグメントを攻撃者がどのように見ているか考えましょう。電力会社の制御室への攻撃に成功すれば、グリッドに対する最大の制御権を得ることができます。しかし、これはリスクの大きい攻撃です。電力会社の制御室が十分に保護されているのは確実で、厳重な入退室管理と同時認証手順が実施されているはずです。また、制御室の担当者が攻撃者に気づかなくても、セキュリティカメラが記録しているため、攻撃を隠しておくことも非常に困難です。電力会社の制御室では内部からの脅威が確かに効果的ですが、電力グリッドの稼働を妨げる可能性のある変更を行う権限が誰か1人の担当者に与えられるのを防止する手順を、多くの電力会社が使用しています。それらの操作には複数の人間の同意が要求されるため、攻撃者は「内部」に複数の人間を用意する必要があります。
では、攻撃者は次にどこを考えるでしょう?それは通信チャネルです。これまで、スマートグリッドのセキュリティに関するほとんどの議論は通信チャネルに重点を置いており、現在配備されているほとんどのシステムは強力な暗号化技術を使用して、スマートグリッドのエンドポイントと電力会社の司令センターの間で伝送されるデータやコマンドを保護しています。通信チャネルへの攻撃に成功するためには、秘密の暗号鍵または認証鍵を発見する必要があります。広く知られている高信頼性の通信プロトコルでは秘密鍵を共有しないため、攻撃者は(1)電力会社またはエンドポイントから秘密鍵を発見するか、または(2)チャネルの暗号化/認証方式に対する総当り攻撃を行う必要があります。方法1は、実際にはチャネル自体に対する攻撃ではなく、グリッドの他の主要構成要素に対する攻撃であることに注意してください。総当り攻撃(方法2)も、成果が得られる可能性は高くありません。AES-128のような一般的な暗号化アルゴリズムの場合、総当り方式による攻撃は計算時間の面から非現実的で、超高速コンピュータでも正しい秘密鍵データの推定に数年(もしくは数十年)かかるため、そのずっと前にデータの有効期間が終了しています。
攻撃者が次に目を付けるのは、スマートグリッドのエンドポイント自体、すなわちスマートメーターやグリッド状態センサーなどの装置です。エンドポイントは警備が十分ではなく、広範囲にわたって住宅の壁面や遠隔地の送電線に取り付けられているため、この種の機器の方が攻撃しやすいことはすぐに分かります。データコンセントレータのような装置も、多くの場合は保護されていないため、このカテゴリに含めることができます。この脆弱性によって、より多くの学習の機会が攻撃者に与えられ、さまざまな攻撃を試すことが可能になります。確かに、これらのエンドポイントには電圧がかけられ、場合によっては到達が困難で(たとえば高い送電線の上など)、潜在的な危険性を備えています。しかし、攻撃者はある程度の注意を払うことによって人身事故を防ぐことができます。表面上は、メーターなどのエンドポイントは攻撃者が最もアクセスしやすいように思えます。しかし、敵はどのように攻撃を実行するのでしょうか?

配備済みのメーターに対する攻撃

以下の議論は通信機能を備えたスマートグリッド内のすべてのエンドポイントに該当しますが、論点を明確にするため、ここではスマートメーターについて考えます。
個人的脅威の場合、攻撃者は最善を尽くしてメーターを直接攻撃します。電流検出メカニズムに変更を加えて電力消費量をより少なく見せたり、メーター内のソフトウェアのリバースエンジニアリングによって、報告される電力使用量を改変することが目的となります。
社会的脅威も、同様の方法で開始されます。攻撃者はメーターを研究して、それがどのように機能するかを理解しようとします。その目的はより高度であり、暗号鍵の抽出、通信プロトコルのリバースエンジニアリング、メーターのプログラム書換えなどが考えられます。攻撃が反復可能なものである場合、大量のメーターを再プログラムして電力消費量を過小報告させたり、特定の日時に同時に切断させることが可能です。
それらの脅威に対して、スマートグリッドのエンドポイントのセキュリティを確保するために何ができるでしょうか?金融取引や政府アプリケーションなどの市場で使用されている組込みセキュリティ技術は、個々のメーターに対するこれらの攻撃への対抗手段として優れた働きをします。このセキュリティ技術は、組込みシステムの強制的な制御または調査を目的とする物理的攻撃と、組込みシステムで動作しているメモリ、アプリケーションまたはプロトコルの解析を目的とする論理的攻撃の両方に対する抑止手段を統合したものです。
物理的攻撃の検出機構を備えた組込み製品は、システムのセキュリティが侵害されたことを検出します。これらの製品は、ケースオープンスイッチ、ブラインドスイッチ、モーションディテクタ、環境センサーなどの物理センサーを利用して攻撃を感知します。脅威が検出された場合、メーターはそれに対処して電力会社への連絡を試みたり、さらには秘密暗号鍵を消去することもできます(それらの鍵を攻撃者の目に晒すよりは、消去する方が良いと考えられます)。
配備済みのメーターに対する攻撃には、論理的な技術も適用されます。チップに内蔵されたセキュアメモリはロックと暗号化が可能で、攻撃者による読取りやソフトウェアのリバースエンジニアリングを困難にします。セキュアブートローダは製造時にデバイスをロックして、攻撃者が不正なバージョンのソフトウェアをメーターにロードすることができないようにします。
配備済みのメーターのセキュリティを確保するための技術は、社会的脅威もある程度まで軽減します。固有の暗号鍵を備えたメーターによって、仮に攻撃者が1つのメーターの鍵を抽出することができた場合でも、別のメーターの鍵は分からないことが保証されます。1つの鍵の抽出が(前述の物理的および論理的保護によって)十分に困難であれば、それだけ多数の配備済みメーターに対して社会的脅威を実行することの難しさが増大します。

サプライチェーンに対する攻撃

既存の組込みセキュリティ技術をいくつか実装することによって、配備済みのメーターおよびスマートグリッドに対する危険な社会的脅威を軽減することができます。しかし、配備済みのメーターに対するもの以外の攻撃についても考慮し、ライフサイクル全体を重視する必要があります。
海外生産に昔からつきものの窃盗の脅威を考えても、また国内生産が(場合によっては社内生産でさえ)ソーシャルエンジニアリングに弱い低賃金の技術者によって行われているという事実を考えても、生産環境は知的財産にとって最も危険な場所の1つです。この環境の中では、リバースエンジニアリングのためにIPが盗まれたり、新しい危険なIPが製品に実装されて配備されることさえあります。
強固な意志を持った攻撃者なら、メーターのソフトウェアをリバースエンジニアリングして、指定の日時にリモート切断を作動させ、メーターの通信を遮断し、すべての内部メモリを消去するウィルスをインストールすることができるでしょう。次に攻撃者は、そのIPを製造フローの中に入れ替えます。結果は壊滅的です。電力会社は数百万のメーターを出荷し、そのすべてが特定の時点で顧客の電気を止めるのです。何週間も、あるいは何ヶ月もかけて個々のメーターの修正や交換を行う必要があり、膨大な出費が伴います。
組込みセキュリティ製品は、セキュアブートローダ、セキュアメモリ、ライフサイクル管理などの機能によってこれらの脅威を軽減することができます。セキュアブートローダの使用によって、暗号化されたバージョンのメーターソフトウェアのみをロードすることができるため、メーターの設計者またはソフトウェアプロバイダが暗号化されたアプリケーションを製造場所に送り、システムマイクロコントローラ内のセキュアブートローダがアプリケーションを復号化して格納することが可能です。セキュアメモリ(内蔵または外付け)も、暗号化されたアプリケーションコードを格納することができるため、アプリケーションの内容を読み取ってリバースエンジニアリングやコピーを行うことが実現不可能になります。セキュアライフサイクル機能を使用することにより、実際のサプライチェーンの検証が可能になります。シリコンの製造者はデバイスをロックして、1つの顧客のみがロックを解除してコードをインストールすることができるようにし、メーターのOEMはメーターをロックして、予定された電力会社のみがロックを解除して配備できるようにします。より多くのセキュリティがサプライチェーンに追加されるほど、メーターを利用して行われる社会的攻撃の脅威が減少します。

解決策は?

スマートグリッド用の完璧なセキュリティソリューションは存在しません。完璧なセキュリティを開発するためには、無限の時間と費用が必要になります。しかし、金融取引や政府アプリケーションの世界に存在する膨大な数の技法と技術が、スマートグリッドの組込みエンドポイントについても、より高水準の物理的/論理的セキュリティを実現する上で役立ちます。
ここで紹介した脅威、攻撃、および軽減策は、決してスマートグリッドにおけるセキュリティホールの完全な分析ではなく、スマートグリッドの脅威について考える際にはメーターなどの組込みエンドポイントについて慎重に検討する必要があることを、この短いスペースで示すのが目的でした。メーターやその他のエンドポイントが複数の層の安全メカニズムで保護されていれば、攻撃者は他の部分に労力を集中せざるを得なくなるでしょう。
次のステップ
EE-Mail EE-Mail配信の登録申し込みをして、興味のある分野の最新ドキュメントに関する自動通知を受け取る。
© , Maxim Integrated Products, Inc.
このウェブサイトのコンテンツは米国および各国の著作権法によって保護されています。コンテンツの複製を希望される場合は お問い合わせください。.
APP 5337:
アプリケーションノート 5337,AN5337, AN 5337, APP5337, Appnote5337, Appnote 5337