Techstrong Groupは4月6日(米国時間)、Security Boulevardに掲載した記事「Banning Routers Won’t Secure the Internet - Security Boulevard」において、米連邦通信委員会(FCC: Federal Communications Commission)が決定した外国製Wi-Fiルータの排除に対し、否定的な見解を伝えた。

この対策はセキュリティ問題の根本的な解決にならず、運用上のリスクを見落とす危険があると主張している。

  • 米国は外国製Wi-Fiルータの排除を進めるが、セキュリティリスクはそれだけでは解消されないと指摘されている Photo:PIXTA

    米国は外国製Wi-Fiルータの排除を進めるが、セキュリティリスクはそれだけでは解消されないと指摘されている Photo:PIXTA

外国製Wi-Fiルータはなぜ排除されるのか? 米国規制の背景

米FCCの新たな規制は、米国の国家安全保障上のリスクを低減する目的がある。中国の関与が疑われるサイバー攻撃から米国のインフラや企業、国民を保護する必要があると説明し、この目標達成のために米国外で製造された新しいルータの販売を禁止する内容となっている。

TP-Linkとは何か? なぜ問題視されているのか

この規制の決定には、ルータ販売のシェアトップがTP-Link(米国内で約35%)ということも影響した可能性がある。「TP-Link」は中国企業の「TP-LINK」から分離/独立したグローバル企業とされるが、2025年12月に中国との関係を意図的に隠した疑いなどで米国連邦取引委員会(FTC: Federal Trade Commission)の調査対象となったことが報道されている(参考:「FTC examines whether TP-Link misled US consumers about its China split, source says  | Reuters」)。

さらにTP-Linkのルータからは脆弱性が比較的多く発見され、ボットネットの主力デバイスになっていることも問題視されている。ルータが侵害されると内部ネットワークへの侵入、サイバー攻撃の踏み台、サイバー犯罪者への通信インフラの販売など、幅広い悪用を可能にし、世界中のインターネットユーザーの脅威となる。

この脅威はルータの製造国に依存するものではない。しかしながら、中国の影響下にある企業が設計した製品の場合は、故意に脆弱性を組み込む可能性や、ソースコードを開示させてゼロデイの脆弱性を情報機関が把握する可能性がある。そのため設計を含む製造段階のすべてを米国内に限定する今回の規制には、一定の有効性があると評価できる。

ではどうすればよいのか? Wi-Fiルータの現実的なセキュリティ対策

Techstrong Groupは、この規制では重大なセキュリティ問題を解決できないと指摘する。ルータの最大の懸念は未知の脆弱性の存在で、製造拠点を移動したところでこの問題は解決できないと主張している。

新たに発見された脆弱性の解決には、継続したメンテナンス、アップデート、責任の所在の明確化が必要で、これらの向上が不可欠と説明。具体的な対策として、サポート期間の延長、製品寿命の開示、セキュリティアップデートの配信停止時期をユーザーに確実に通知する仕組みの構築を提案している。

ルータを10年以上の長期にわたり利用するケースは珍しくない。サポート終了(EOL: End of Life)後も利用を継続するユーザーは一定数存在する。これは機能や性能面に不満がないためで、電気的およびセキュリティ上のリスクがなければ問題はない。

しかしながら、サポートを終了しているルータから新しい脆弱性が発見されるケースが多いという現実的な問題がある。これは攻撃者が長期間の侵入を目的に管理されていないデバイスを標的にする傾向があるためで、記事が主張する最大の懸念は正しいと評価できる。

規制の見落としを埋める対策は必須

一方で、Techstrong Groupの主張は規制を否定しているとは言えない。Techstrong Groupが主張する対策を実施したところで、故意に脆弱性を組み込む可能性などは排除できないためだ。

Techstrong Groupは規制の緩和を求めたい考えとみられるが、この主張では説得力に欠ける。ただし指摘の内容には耳を傾ける価値があり、規制の見落としを埋める前述の対策は必要と言える。