米連邦通信委員会(FCC)は、重大なサイバーセキュリティおよび国家安全保障上のリスクがあると認定された中国製の通信・監視機器について、輸入と販売を禁止する広範な新規制を導入しました。
2026年6月26日に発表されたこの規則は、FCCの「対象リスト(Covered List)」に掲載された企業が、国家安全保障上の懸念があるにもかかわらず、以前に認証済みの旧型機器を販売し続けることを許してきた長年の抜け穴を塞ぐものです。
この対象リストは、Secure and Trusted Communications Networks Actに基づき維持されているもので、米国の重要インフラを脅かすとされるベンダーを特定するものです。
今回の裁定は2024年以前にリストに追加された企業にも遡って適用され、新規販売を禁止するだけでなく、既存の機器認証もすべて取り消します。
影響を受ける主要ベンダーにはHuawei、ZTE、Hikvision、そしてロシア企業のKasperskyが含まれており、いずれも国家が関与するサイバー活動との関連が疑われ、精査の対象となってきました。
これらの企業はすでに2022年以降、新規輸入について制限を受けていましたが、今回の規則改定により、機能的にほぼ同等の旧型モデルの販売を続けることを認めてきた例外規定が撤廃されました。
注目すべき点として、FCCは過去1年以内にリストに追加された機器の認証は取り消していません。これにはドローンメーカーのDJIおよびAutel Roboticsの製品や、外国製ルーター全般が含まれます。
今回の決定は、通信環境に組み込まれたレガシー機器に伴うリスクに対応するものです。旧型のデバイスは、たとえ過去に認証を受けていたとしても、悪用可能なファームウェアの脆弱性や脆弱な暗号化、文書化されていないリモートアクセス機能を抱えていることが少なくありません。
研究者らは、こうした機器が高度標的型攻撃(APT)を仕掛ける攻撃者の侵入口となり、ラテラルムーブメントやデータ窃取、長期的な潜伏を可能にする恐れがあると警告しています。
今回の厳格な禁止措置にもかかわらず、FCCはすでに導入済みの機器の撤去までは義務付けていません。
アナリストらは、これにより将来的なリスクは軽減されるものの、既存の導入環境、特にコストを抑えたレガシー機器に依存する地方や小規模な通信事業者においては、依然として攻撃対象領域が残ると指摘しています。
今回の措置は、外国からの影響力に対してインフラを強化しようとするFCCのより広範な取り組みの一環です。この1日前には、同委員会が海底ケーブル陸揚げ局の運用事業者に対する免許要件を新たに導入し、海底ケーブルを米国内ネットワークに接続する陸揚げ局を中国企業が所有・保守することを防ぐ狙いを示しました。
FCCは新興の接続技術についても対策を講じています。2025年12月には、DJIやAutelに関連するスパイ活動や妨害工作のリスクを理由に、外国製ドローンを禁止しました。
2026年3月には同様の規制をルーターにも拡大し、米国のネットワークに対するサイバー攻撃との関連が繰り返し指摘されてきたTP-Linkを主な対象としました。
FCCの発表によれば、この姿勢は、他の政府機関が取り締まりを緩めつつある中にあっても、通信セキュリティを国家防衛の中核的要素として位置づける方向への転換を反映しているとのことです。
商務省は一部の輸出規制を緩和し、軍とつながりのある中国企業をエンティティリストに追加する計画も一時停止したと報じられています。専門家は、さらなる対策が必要だと主張しています。
提言されている対策には、対象リストに掲載された事業者が、国内の通信事業者が正式な免許なしにサービスを提供できる包括的なSection 214権限の下で米国のネットワーク上で活動することを禁止することや、米国の通信事業者とこれらの企業との相互接続契約を制限することが含まれます。
こうした措置は、国家と関連のある攻撃者によるサイバー攻撃キャンペーンが続いていることや、すでに全米に導入されている中国製レガシー機器に内在する脆弱性を踏まえると、機微なインフラへの敵対的アクセスをさらに減らすことにつながるでしょう。
翻訳元: https://cyberpress.org/fcc-bans-chinese-produced-equipment/