BetaNewsは3月25日(米国時間)、「US Bans New Foreign-Made Wi-Fi Routers Over Security」において、米連邦通信委員会(FCC: Federal Communications Commission)が外国製の新規ルーターの販売を禁止したと報じた。

これは3月20日(米国時間)に発行された国家安全保障に関する文書「(PDF) National Security Determination on the Threat Posed by Routers Produced by Foreign Countries」に基づく措置。米国外で製造されたルータは経済的、国家安全保障上、サイバーセキュリティ上のリスクを生じさせるとして、消費者向けネットワーク機器を含むルータ全般の輸入・販売が制限される。

  • 米国で外国製Wi-Fiルータの新製品販売が禁止へ 出典:TP-Link

    米国で外国製Wi-Fiルータの新製品販売が禁止へ 出典:TP-Link

既存のルータは使用可能、規制は「新製品のみ」

BetaNewsによると、規制の対象は米国外で製造された新しいルータに限られるという。米国内で販売済みのルータや、FCCに承認されたデバイスは引き続き利用および販売可能とされる。

この決定は近年のサイバーインシデントが影響していると報告されている。具体的な事例として脅威グループ「Salt Typhoon」による米国大手通信事業者の侵害事案、TP-Linkルータで構成されたボットネットの侵害事案が指摘されており、いずれも中国との関連が疑われている。

承認を得るためのハードルは高く、実質排除

同規制は米国外で製造されたルータを完全に排除するものではない。条件付き承認を申請し、関係機関の承認を得ることができれば販売可能とされる。しかしながら、提出書類の多さ、製造拠点の米国移転計画を要求するなどハードルが高く、発表までに申請した企業は存在しないとされる。

なお、同規制における「製造」は、最終組立だけではなく、設計、開発を含む主要な生産段階のすべてを含む。そのため、米国外で設計または開発し、米国内で組み立てた製品を販売することも禁止される。

ほぼ全ての新製品に影響、サプライチェーンに打撃

現在ルータを製造している主要企業の多くはグローバルなサプライチェーンを形成しており、ほぼすべての新製品がこの規制の影響を受けるとみられている。米国内のシェアトップはTP-Link(約35%)で、NetgearとAsusを含めると約6割を占め、その製造拠点の多くは台湾や中国などのアジア圏とされる。

今後、米国でルータを販売するには、人員配置を含めサプライチェーン全体を見直す必要がある。製造拠点の移転は時間がかかることから、米国内の新製品登場はしばらく先のことになると予想されている。

古いルータは逆に危険、買い替え促す声も

Malwarebytesは同規制について懸念を伝えている。中国のように製造国の法律に問題があり、その生産品を信用できないケースにおいてこの規制は必要だが、その他の製造国で生産された製品はデフォルトの認証設定に問題があると指摘している(参考:「New FCC router ban could leave home networks less secure | Malwarebytes」)。

一般的に製品のデフォルト設定は無制限に公開されることが多く、サイバー犯罪者も容易に入手することができる。そのため、デフォルトの認証情報を使い続けると、デバイスを侵害される可能性が飛躍的に高くなる。

このようなデフォルト設定で稼働できる製品は古いものに多く、すでに米国内に広く流通している。そのため、この問題に対処した新製品の流通を阻害すると、危険な古い製品をより長く使用することにつながり、リスクが高くなると主張している。

Malwarebytesは所有するルータが踏み台として悪用されるリスクを低減するために、米国内で古いルータを利用しているユーザーに速やかな買い替えを提案している。店頭に並んでいる製品が売り切れるとしばらく購入できない可能性があるためで、製品のサポート終了日を調査した上で製品を選ぶことを推奨している。