ハッキングされた米国の電力網を再起動するためのDARPAのヘイルメリー計画

長年電力網向けソフトウェア開発に携わってきたスタン・マクハン氏だが、先週水曜日に鳴り響いた不吉な音は初めて耳にした。電力会社の指令センターの真ん中に立っていたマクハン氏は、サイバー攻撃によって電力網の低圧変電所7か所すべてのブレーカーが落ち、システムが暗闇に包まれた瞬間にたじろいだ。「すべての変電所が落ちる音が聞こえました。バンバンバンバンバンバンバンバンバンバンバンという感じでした」とマクハン氏は語る。「停電です。『よし、ゼロからやり直して電力を復旧させよう』と、ただ深呼吸をして、ただひたすら頑張るしかありませんでした」

幸いなことに、マクハン氏が経験したのは、米国でサイバー攻撃によって引き起こされた初めての停電ではありませんでした。これは、100人以上の電力系統およびサイバーセキュリティの専門家が、特別に構築された隔離された試験用電力系統への電力復旧に取り組んだ、1週間にわたる連邦政府の研究演習の一環でした。

そうする中で、彼らは停電や悪天候だけでなく、実際の敵と同じように彼らの進歩を阻止しようとして絶え間なくサイバー攻撃を浴びせかけてくる研究仲間のグループにも直面した。

パワープレイ

国防高等研究計画局の資金提供を受けて 11 月の第 1 週に実施されたこの演習は、DARPA が開発した 7 つのグリッド回復ツールのテスト シナリオとして機能しました。

しかし、状況は作り話だったとはいえ、演習の条件はあまりにも現実的だった。研究者たちは、ロングアイランドのノースフォーク先端にある国土安全保障省の動物病研究施設、プラム島の既に孤立した電力網を利用して試験用送電網を構築した。マンハッタンのセントラルパークとほぼ同じ大きさのプラム島は、ロングアイランド湾の沖合約3マイルに位置し、フェリーでしかアクセスできない。国土安全保障省の家畜研究施設に加え、プラム島には第一次世界大戦と第二次世界大戦中に建設された兵器や要塞の遺跡、手つかずのビーチ、1898年に建てられた灯台、そして冬には群れをなすゼニガタアザラシの群れさえも生息している。

その結果、連邦政府の実利的な運営、息を呑むほど美しい自然環境、ハンプトンズの未開発の不動産、そしてしつこい不気味さが、非現実的な組み合わせで生み出された。（根強い陰謀説にもかかわらず、国土安全保障省の代表者たちは、この島に何か不気味なものがあるとは、辛抱強く、しかし断固として否定している。）

「このプログラムを始めた当初は、大学の研究室で作業し、あらゆることをシミュレーションしていました」と、電力会社が「ブラックスタート」と呼ぶ、機能停止した送電網への電力復旧に関する研究を監督するDARPAのプログラムマネージャー、ウォルター・ワイス氏は語る。

RADICSの初期段階の会議で、ワイスはホスト大学を説得し、チームがいるフロアの電力供給を遮断させました。これにより、研究者たちは開発中のツールが停電時にどのように機能し続けるかを考える必要に迫られました。「『島に行くところを想像してみて』と言いました」とワイスは笑いながら言います。

違反を想定

ここ数年、送電網ハッキングの脅威は、遠い可能性から厳然たる現実へと変貌を遂げました。これまでで最も恐ろしい事例は、ウクライナで発生した2度のサイバー攻撃による停電です。1度目は2015年12月、2度目は1年後の2016年12月に発生し、キエフでは数十万人の住民がそれぞれ数時間にわたって停電に見舞われました。どちらの攻撃も、ロシア政府が支援するハッカーによるものとみられています。米国では同様の事例は今のところ発生していませんが、様々なハッカー集団が米国の送電網防御システムに侵入したという証拠が増えています。米国土安全保障省は今年、ロシアによる米国の送電網への広範な探査活動を検出したと繰り返し警告しています。

しかし、意識を高めるだけでは限界があります。真のレジリエンスを実現するためには、サイバーセキュリティ業界は、サイバーセキュリティの専門家が「侵入を想定する」精神と呼ぶものが必要です。これは、攻撃者を締め出す方法を考えるだけでなく、実際に侵入された場合にどのように対応するかを知ることです。

2015年末以降、ワイス氏が監督するDARPAの迅速攻撃検知・隔離・特性評価システム（RADICS）プログラムは、電力網の監視に取り組んでいる。RADICSは、サイバー攻撃後の停電の3段階を支援するツールの開発を目指している。第1段階では、ハッキングによって既存の監視機器の信頼性が歪められたり低下したりした後でも、正確な計測値と状況認識を提供できるセンサーの開発を目指す。第2段階では、停電を引き起こしたマルウェアがまだ一部のシステムに感染している可能性があるため、いざというときに安全なバックアップネットワークを迅速に構築するための専用機器の開発を目指す。第3段階では、脅威を素早くスキャンして攻撃がどのように発生したかを把握し、電力が復旧した際にハッカーの残存する足場を封鎖する方法の開発に焦点を当てている。

これらのツールはすべて、機能不全に陥った送電網を再起動させるという重要なパズルにおいて不可欠なピースです。「本当の弱点は、何が起こっているのかさえ分からない30日後に、どうやって電力を復旧させるかということです」と、プラム島のRADICS試験送電網の大部分を設計した連邦政府の電気工学請負業者、ゲイリー・セイファート氏は言います。

RADICSは6月にプラム島で比較的小規模なブラックスタートのパイロット演習を実施した。当時の電力網は、ディーゼル発電機を稼働させる単一の公益事業体（ユーティリティA）と、小規模な変電所群によって管理されるように設計されていた。電力網は基本的に、システムに電力を供給する公益事業体の発電機、長距離送電線を経由して送電するために低電圧から高電圧に変換する変電所、地域配電のために電力を再び低電圧に変換する変電所、そして電力を受け取る顧客で構成される。今月、DARPAがエネルギー省と共同で主催したフォローアップでは、RADICSはテストグリッドを拡張し、ユーティリティBと呼ばれる2番目の公益事業体と発電機、およびいくつかの追加の変電所を含めた。

演習で想定されたシナリオでは、大規模なサイバー攻撃により、送電網の一部が数週間にわたりオフラインとなり、残存電力と変電所のバッテリーがすべて消耗するほどの長期間にわたり停止します。電力会社Bの目標は、重要資産に指定されている顧客に電力を供給するため、できるだけ早くブラックスタートすることです。電力会社Bで障害が続いた後、電力会社Aが介入し、同じ重要顧客に冗長電力を供給するために再起動する必要があります。

電力会社が相互に連携し、安全に電気を共有するには、電磁周波数を約 60 ヘルツに同調させる必要があるため、作業の一部には電力会社 A と B を稼働させるだけでなく、それらを同期させることも含まれていました。

「変電所が18箇所、公共事業体が2箇所、指令センターが2箇所、そして発電源が2箇所あり、それらをクランクパスで立ち上げて同期させる必要がありました」と、Perspecta Labsの研究員で、RADICSを通じてブラックスタート・ネットワーク分析および脅威検知ツールの開発に取り組んでいるスタン・ピエトロヴィッチ氏は語る。「クランクパス」とは、変電所ネットワークを復旧させ、電力網に電力を供給し直すための計画のことだ。「実験室環境ではなかなか得られない現実感があり、アプローチを再考するきっかけになりました。すべてを一度に立ち上げるのか？それとも、電力網の一部を少しずつ立ち上げて、サイバーフォレンジックを行うために保護された環境に置くのか？」

ブラックスタート

テストグリッドは、実際の産業用制御システムで共存する様々な技術を模倣するように設計されました。グリッドのような重要なシステムは、簡単にオフラインにしたり、オーバーホールしたりすることはできないため、機器は数十年もそのまま残ります。ブラックスタートの復旧、特にサイバー攻撃後の復旧には、複数の世代の技術をナビゲート、防御、そして設定する必要があります。

プラム島での演習では、大規模停電時に機器を物理的に運搬・設置することの困難さが浮き彫りになりました。チームは、ロングアイランド本土の遠隔地にあるステーションで作業する多くの研究者と、プラム島自体の作業員との間で、安全な固定電話回線による通信システムを構築しました。この演習には、サイバーセキュリティ研究者に加え、全国の大手電力会社からのボランティアも参加しました。

上空から電力網を調査するために開発中の復旧ツールの一つは、軽量の電磁放射線検出器を内蔵した気球です。停電時には、電力会社はこの気球を打ち上げ、家庭用Wi-Fiルーターが電源に接続され、ネットワークを放射しているかどうかといった、電力供給のシンプルな指標を探知することができます。また、気球は電化インフラから発せられる60Hz付近の「ハム音」を検知することで、2つの電力網が別々に稼働しているのか、それとも同期しているのかを検知することもできます。その他のツールには、電力網機器を監視するブラックボックスや、安全な産業用制御ネットワークに接続できる遠隔機器などがあります。

プラム島の天候は、その週を通して影響を及ぼしました。強風を伴う雨の日が数日続き、島へのフェリーでの往復や、グリッド上での物理的な作業が困難になりました。ある日、研究者たちは、朝まで島から戻れない場合に備えて、宿泊用の荷物をまとめるよう指示されました。気球は悪天候では信頼性が低いため、一部の研究者は代わりに凧でセンサーを飛ばそうとしましたが、強風のため実現不可能でした。その間も、いわゆるレッドチームはハッキングを続けました。

「演習の大部分は、何が起こっているのかを把握し、状況に対処することに重点が置かれていました」とピエトロヴィッチ氏は語る。「一撃離脱ではありませんでした。我々が事態を収拾している間、敵は我々の動きを阻止していました。演習3日目には、クランク経路をほぼ完全に確保していたにもかかわらず、攻撃者が重要な変電所の一つを破壊したという事例がありました。これはある意味残念な結果で、我々はただ前進を続け、次の有効な経路を見つけなければなりませんでした。その小さな勝利さえも、我々の手に落ちてしまったのです。」

最終的に、参加者は2つのグリッドで黒番からスタートすることに成功し、演習の2つの目標をほぼ達成しました。しかし、最も貴重な洞察は途中での挫折から得られたものだと彼らは言います。

新しいツール

DARPAは5月にプラム島でさらに高度なバージョンの訓練を実施する予定で、その後もさらに訓練を重ねることを期待しています。RADICSのワイス氏は、最終的にはこの装置全体がDOEのような組織に採用され、政府職員や公共事業体向けの長期的な防災訓練に活用されることを期待しています。

RADICS対応ツールの多くは開発中だが、一部は既に全米各地の送電網で運用されている。その一つが、全米900社以上の独立系電力会社を代表する業界団体、全米農村電力協同組合（NRECA）の研究者による機械知能ツールだ。NRECAのツールは、重要インフラネットワークにおける正常な動作の基準を設定し、その基準を用いて電圧の変動、ネットワークへの新規機器の追加、その他の異常動作の検出を支援する。ノースカロライナ州のウェイク・エレクトリックなど、全米の複数の電力会社が既にこのツールを活用している。また、このツールは終末シナリオ以外にも効果を発揮しており、既に7件の火災を検知し、変圧器に過大な電流が流れて劣化する状況を特定している。

NRECAは低密度地域にサービスを提供する独立系公益事業会社で構成されていますが、NRECAの主任科学者クレイグ・ミラー氏によると、会員がサイバーセキュリティの侵入を懸念しているため、RADICSの研究を支援しているとのこと。「1日に何度も探知機が来ます。侵入しようとしたり、ドアをノックしたりします」とミラー氏は言います。「電力網が変化しているため、サイバーセキュリティを懸念しています。新しい電力網はより分散化され、積極的に管理されるため、より環境に優しく、より効率的で、より信頼性と回復力に優れています。しかし、同時に脆弱性も高まっています。」

プラム島の厳しい自然環境にさらされ、連日RADICS演習に奔走する研究者にとって、その脆弱性は明白でした。送電網の防御と復旧計画の強化が急務となっている今、この現実を突きつけること以上に重要なことはないかもしれません。

WIREDのその他の素晴らしい記事

• Google自身を救うためのプライバシーの戦い
• わずか45分でシコルスキーの新型ヘリコプターの操縦を習得
• iPadは正式にMacBookよりも興味深い
• ゲームは身体にどのような影響を与えるのか調べてみました
• 私たち全員を脅かすAI冷戦
• もっと知りたいですか？毎日のニュースレターに登録して、最新の素晴らしい記事を見逃さないでください。