米国政府は、現在家庭用および小規模事業者向け市場で推定50%のシェアを持つテクノロジー企業TP-Link Systemsの無線ルーターやその他ネットワーク機器の販売を禁止する準備を進めていると報じられています。専門家によれば、提案されている禁止措置はTP-Linkの中国との関係に起因するものであり、特定の技術的脅威によるものではないといいます。しかし、この市場を担う他の多くの業界関係者も中国からハードウェアを調達しており、出荷時点で安全性に欠ける製品を提供しているのが現状です。
TP-Link WiFi 6 AX1800 スマートWiFiルーター(Archer AX20)。
ワシントン・ポストは最近、報道で、米国内でのTP-Link製品の今後の販売禁止案を、連邦の複数の省庁や機関が支持していると伝えました。記事によると、米商務省の担当者は、TP-Link Systemsの製品が米国拠点の企業でありながら米国の機密データを扱っていること、また中国政府の管轄や影響下にあると考えられることから、リスクがあると結論付けたとしています。
TP-Link Systemsはこれを否定し、過去3年間で中国のTP-Link Technologiesから完全に分離したと主張し、批判者が同社の市場シェアを大きく過大評価している(TP-Linkは約30%と主張)と述べています。TP-Linkはカリフォルニアに本社を置き、シンガポールに支社があり、ベトナムで製造しているとしています。また、チップセット以外のすべてを自社で研究・設計・開発・製造していると述べています。
TP-Link Systemsはポスト紙に対し、かつて中国のTP-Link Technologiesの一部だった中国国内の一部のエンジニアリング、設計、製造能力を単独で所有し、中国政府の監督なしに運営していると述べました。
「TP-Linkは、その製品が米国の国家安全保障上のリスクをもたらすといういかなる主張にも強く異議を唱えます」と、TP-Link Systemsの広報担当リッカ・シルヴェリオ氏は声明で述べました。「TP-Linkは米国企業であり、米国市場およびその先に高品質で安全な製品を提供することに尽力しています。」
TP-Link製品が消費者や小規模事業者の市場で広く普及している大きな理由はコストです。2025年2月のWiredの記事でも指摘されているように、TP-Linkは他社の同等モデルよりもかなり安価な製品を市場に大量投入することで長年知られてきました。その価格設定(および一貫して高い性能評価)は、ルーターを顧客に提供するインターネットサービスプロバイダー(ISP)にとってTP-Linkを好まれる存在にしています。
2024年8月、米国と中国共産党間の戦略的競争に関する下院特別委員会の委員長および上級委員は、TP-Link製品の調査を要請しました。これらの製品が米軍基地で発見され、軍人やその家族向けに販売されている交換所でも販売されていると述べています。
「TP-Linkの異常なほど多い脆弱性と中華人民共和国法への遵守義務は、それ自体が懸念事項です」と下院議員らは、商務省長官宛の書簡(PDF)で警告しました。「これに加えて、中華人民共和国政府がTP-LinkのようなSOHO(小規模オフィス/家庭用)ルーターを米国内で大規模なサイバー攻撃に利用していることを考えると、非常に憂慮すべき事態です。」
この書簡では、2023年5月のブログ投稿を引用しています。Check Point Researchによると、「Camaro Dragon」と呼ばれる中国の国家支援型ハッカーグループが、一部のTP-Linkルーター向けの悪意あるファームウェアを使い、欧州の外交機関を標的にした一連のサイバー攻撃を実行したとされています。Check Pointは、悪意あるファームウェアがTP-Link製品でしか発見されなかったものの、「インプラントされたコンポーネントのファームウェア非依存性から、多くのデバイスやベンダーがリスクにさらされている可能性がある」と述べています。
2024年10月に発表されたレポートで、Microsoftは、2021年以降、複数の中国国家支援型ハッカーグループによって悪用されてきたTP-LinkのSOHOルーターのネットワークを追跡していると述べました。Microsoftは、これらのハッカーグループが侵害されたTP-Linkシステムを利用してMicrosoftアカウントへの「パスワードスプレー」攻撃を行っていたことを発見しました。パスワードスプレーとは、少数のよく使われるパスワードを使って大量のアカウント(ユーザー名やメールアドレス)へのアクセスを試みる攻撃手法です。
TP-Linkは、競合他社の多くも同様に中国から部品を調達していることを正しく指摘しています。また、中国や他国の高度持続的脅威(APT)グループが、CiscoやNetgearなど競合他社の製品の脆弱性も悪用してきたことも正しい指摘です。
しかし、TP-Linkの顧客にとっては、これが慰めになるとは限りません。今後もこれらの製品を使い続けるのが賢明かどうか、あるいは、わずかにしか脆弱性が減らないかもしれない高価なネットワーク機器を購入すべきかどうか、悩むことになるでしょう。
ほぼ例外なく、ほとんどの家庭用ルーターに搭載されているハードウェアやソフトウェアには、インターネットに安全に接続する前に変更が必要なデフォルト設定がいくつも含まれています。例えば、新しいルーターを初期設定のユーザー名とパスワードのままオンラインにすると、数分以内に何らかのIoTボットネットによるスキャンや侵害を受ける可能性が高いです。また、新品のルーターのファームウェアが、購入・開封時点ですでに危険なほど古くなっていることも非常によくあります。
つい最近まで、ルーターメーカーが顧客に安全に製品を使わせるための工夫をするという発想は、この業界ではむしろ忌避されてきました。消費者は大部分を自力で解決するしかなく、その結果は予想通り悲惨なものでした。
しかしここ数年、人気の家庭用ルーターメーカーの多くは、デフォルトパスワードの変更や内部ファームウェアの更新など、基本的なセキュリティ対策をユーザーに強制するようになってきました。例えば、AmazonのEero、NetgearのOrbiシリーズ、AsusのZenWifiなどの「メッシュ」無線ルーターの多くは、今後の重要なステップを自動化するオンライン登録を必須としています(少なくともサポート期間中は)。
良くも悪くも、BelkinやLinksysなどの安価な従来型家庭用ルーターも、セットアップ時にモバイルアプリのインストールを強く促すことで、このプロセスを自動化しています(手動設定に慣れている人には驚きかもしれません)。それでも、これらの製品はユーザー自身が定期的にアップデートを確認・インストールする責任を負う傾向があります。また、しばしば性能不足や肥大化したファームウェア、設定項目の少なさも問題です。
もちろん、すべての人がモバイルアプリを使いたいわけではなく、ルーターをクラウド経由で管理・監視できるよう登録することに抵抗がある人もいます。そうした手動派や、VPNや広告ブロッカー、ネットワーク監視など高度な機能を求めるパワーユーザーには、ルーターの標準ファームウェアがOpenWrtやDD-WRTなどのオープンソース代替ファームウェアに置き換え可能かどうかを確認するのが最善のアドバイスです。
これらのオープンソースファームウェアは多くのデバイスに対応しており、一般的により多くの機能や設定の柔軟性を提供します。オープンソースファームウェアは、ベンダーがハードウェアのサポートを終了した後もルーターの寿命を延ばすのに役立ちますが、利用者自身がアップデートの確認・インストールを手動で行う必要があります。
幸いなことに、TP-Linkユーザーで今回の禁止案に不安を感じている方も、これらのデバイスをすぐに廃棄せずに済むかもしれません。多くのTP-LinkルーターはOpenWRTなどのオープンソースファームウェアにも対応しています。この方法では、ハードウェア固有のセキュリティ欠陥が完全に解消されるわけではありませんが、未公開のユーザーアカウントやハードコードされた認証情報、認証バイパスの脆弱性など、より一般的なベンダー固有の脆弱性に対する有効な対策となり得ます。
ブランドに関係なく、ルーターが4~5年以上前のものであれば、パフォーマンス面だけでもアップグレードを検討する価値があります。特に自宅やオフィスのインターネット接続が主にWiFi経由の場合はなおさらです。
注:ポスト紙の記事によると、TP-Linkルーターや競合他社の多くはISP経由で購入またはレンタルされています。この場合、デバイスは通常ISPによって遠隔管理・更新され、ISPネットワークへの認証を担うカスタムプロファイルが搭載されています。もしこのような環境であれば、インターネットプロバイダーに事前相談せずにデバイスの改造や交換を試みないでください。
翻訳元: https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/
