ChatGPTのリリースから大変注目を浴びるようになったAIについて、あらゆる分野でAIの活用が進んできているように見受けられます。残念ながら悪用されるケースもあり、データベースや通信機器に対してAIを活用したサイバー攻撃が増えてきており、日本の太陽光発電所でも機器の乗っ取り等で悪用されているケースが出てきているようです。

今回のコラムでは、ドイツ及び世界で有名な太陽光発電メディアであるPV Magazineにて
2026年4月7日にリリースされました「AIを活用したハッキングにより、マイクロインバータのリモートシャットダウンリスクが明らかに。原題: AI-enabled hacks expose remote shutdown risk in microinverters」について、ご紹介致します。

出典元リンク: https://www.pv-magazine.com/2026/04/07/microinverters-hacked-with-ai-coordinated-remote-shutdown-possible/

**********

2026年4月7日マリアン・ウィルーン

AIを活用したハッキングにより、マイクロインバータのリモートシャットダウンリスクが明らかに

ITセキュリティ企業のJakkaruは、AP Systems製のマイクロインバータに脆弱性を発見しました。この脆弱性により「キルスイッチ」と呼ばれる操作が可能となり、数万台のインバータが同時に停止し、送電網の運用が混乱する可能性があります。

サイバーセキュリティ企業のJakkaruは、中国のメーカーであるAP Systemsが製造したマイクロインバータに重大なセキュリティ脆弱性があることを明らかにしました。

Jakkaruによると、この脆弱性によりインターネット経由でデバイスを完全に侵害することが可能となり、システムを選択的にかつ同時にシャットダウンすることも可能だったという事です。AP SystemsはJakkaruからの警告を受けて、この脆弱性を修正しました。

このハッキングは、EZ1-Mマイクロインバータを標的としたもので、Ankerなどの企業がSolix Mi80という名称でホワイトラベル製品としても販売しています。Jakkaruは、オンラインでアクセス可能な脆弱性のあるデバイスを約10万台特定しました。研究者らは、AP Systemsの家庭用エネルギー貯蔵システムなど、さらに多くのデバイスが影響を受けた可能性があると考えています。AP Systemsのシステムは世界中で約60万台稼働しています。

MQTTインフラストラクチャ攻撃

研究者らは、インバータの通信システム内に比較的容易にハッキング可能なMQTTゲートウェイを発見しました。これらの機器はクラウドベースのMQTTシステムを介して動作データを送信し、認証は機器のシリアル番号から生成される静的キーを使用して行われます。これらのシリアル番号は連番で割り当てられるため、比較的容易に予測できます。

Jakkaruのチームは認証メカニズムを再構築しました。彼らはテストにおいて、Gemini ProなどのAIモデルを用いてファームウェアのリバースエンジニアリングを行いました。これにより、MQTTゲートウェイ上で正規のデバイスになりすますことが可能になりました。

Jakkaruは、MQTTプロトコルの「保持メッセージ」を介してファームウェアのアップデートをトリガーできる機能が特に重要だと指摘しました。攻撃者はこれを悪用して、デバイスに悪意のあるファームウェアを書き込むことができます。研究者らは概念実証において、これによりインバータを完全に制御できることを実証しました。

「Gemini ProのようなAIシステムは、セキュリティ上の脆弱性をより迅速かつ効果的に発見するのに役立ちます」と、Jakkaruのマネージングディレクターであるマーロン・スタークロフ氏はpv magazineとのインタビューで語りました。「AIシステムを使えば、数日かけて手作業で調査する代わりに、わずか数時間で済みます。しかし、これは同時に、IT知識が限られている攻撃者でも大きな損害を与えることを可能にするという側面もあります。参入障壁が低くなったのです。」

スタークロフ氏は、経験豊富なハッカーであればAIがなくても脆弱性を発見できた可能性が高いが、Geminiはそのプロセスを簡素化したと指摘しました。リバースエンジニアリングには特定の機能を特定するための深い知識が必要であり、AIシステムはこの目的に特に適しています。同氏の推定では、AIがなければAP Systems社のインバータを侵害するには約3日かかりますが、AIの支援があればわずか1時間で済んだといいます。

エントリー・ポイント

通信モジュールに加え、インバータのパワーエレクトロニクス制御コンポーネントも攻撃の標的となり得るため、攻撃者は電力供給を妨害できる可能性があります。Jakkaruによると、このような侵害は、Wi-Fi認証情報やデバイスに保存されているその他の情報へのアクセス、侵害されたインバータをローカルネットワークへの侵入ポイントとして利用すること、DDoS攻撃用のデバイスを大量に集めること、ファームウェアを改ざんしてデバイスに損害を与えること、さらには多数のインバータのシャットダウンを連携させることなど、様々な結果をもたらす可能性があるといいます。

Jakkaruは2025年11月にAP Systemsにこの脆弱性を報告しました。製造元は、バックエンドインフラストラクチャの調整が必要となるため、修正には約3ヶ月かかると見積もりました。その結果は2026年3月4日に公表されました。

「AP Systemsは、デバイスとサーバー間の通信セキュリティに関する包括的なアップデートを完了しました。数々の技術的な改善により、すべての製品が欧州のサイバーセキュリティ基準に完全に準拠するようになりました。従来の暗号化の脆弱性や保護されていない秘密鍵といった課題に対処するため、AP Systemsのデバイスは、デバイスごとに固有の認証情報を用いたセキュリティ認証ソリューションを採用し、悪意のある攻撃や情報漏洩を効果的に防止しています」と、AP Systemsの広報担当者はpv magazineに語っています。

「同時に、このシステムはデバイスの種類やMACアドレスなどの固有識別子をX-Sign署名検証メカニズムと組み合わせることで、要求の真正性と信頼性を確保し、デバイスアクセスセキュリティをさらに強化します」と広報担当者は続けました。「今回のアップデートは、AP Systemsのサイバーセキュリティ機能における画期的な出来事であり、製品のセキュリティとコンプライアンスにおける当社の主導的な地位を確固たるものにします。これにより、ヨーロッパおよび世界中のAP Systemsユーザーは、より安全で安定した信頼性の高い製品とサービスを利用できるようになります。」

**********

サイバーセキュリティ企業のJakkaruから警告を受け、中国のAP Systems社が速やかに対応したこの事例は、ある意味成功事例でもあり、そして今後のメーカーにとって標準的な取り組みになるではないかと思います。

日本では、情報セキュリティについて独立行政法人情報処理推進機構（IPA: Information-technology Promotion Agency, Japan）によって、「ITセキュリティ評価及び認証制度（JISEC）」や太陽光発電業界も対応が進んできている「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」といった認証・制度が構築されてきております。

太陽光発電は重要な基幹インフラですので、AIを活用しつつ、AIを使った脅威から守る、取り組みが重要であると考えます。

謝辞：この有益な記事の転載を承諾してくださったPV Magazineの著者マリアン・ウィルーン氏に心より感謝いたします。