米連邦通信委員会(FCC)は、中国の脅威グループ「Salt Typhoon(ソルト・タイフーン)」による大規模ハッキングを受けて、米国の通信事業者により厳格なサイバーセキュリティ対策の実施を義務付けていた以前の決定を撤回しました。
この決定は 2025年1月 に下され、通信傍受支援法(Communications Assistance for Law Enforcement Act、CALEA)に基づき即時に発効しました。これは、Salt Typhoon が それに対応する形で、複数の通信事業者に侵入し プライベートな通信をスパイしていた ことを受けたものでした。
CALEA 第105条とあわせて、この宣言的決定には、通信会社に対して以下を求める規則制定案通知(NPRM)が含まれていました。
- サイバーセキュリティのリスク管理計画を策定・実施すること
- それを実行していることを証明する年次のFCC認証を提出すること
- 一般的なネットワークのサイバーセキュリティを法的義務として扱うこと
しかし、通信企業からのロビー活動を受けて――上院議員マリア・キャントウェルの 書簡 によれば、新たな枠組みは業務にとって負担が大きく、過度に煩雑だと見なされた――FCCは以前の規則を柔軟性に欠くものと判断し、これを撤回しました。
「連邦通信委員会は本日、進路を修正し、通信傍受支援法(CALEA)を誤解釈した、違法かつ非効果的な以前の宣言的決定を撤回する措置を講じました」と、FCCの発表文には記されています。
「この命令はまた、その宣言的決定に付随していたNPRMも撤回します。NPRMは、部分的にその宣言的決定の誤った法的分析に基づいており、非効果的なサイバーセキュリティ要件を提案していました。」
新たな指導部の下にあるFCCは、Salt Typhoon 事案以降、通信サービスプロバイダーが自社のサイバーセキュリティ態勢を強化するために重要な措置を講じてきており、国家安全保障上のリスクを低減するため、今後も協調的な形でこの取り組みを継続することに合意していると述べました。
Salt Typhoon による攻撃は2024年10月に公表され、中国のスパイ活動と結び付けられました。このキャンペーンは、Verizon、AT&T、Lumen Technologies [1]、T-Mobile [2]、Charter Communications、Consolidated Communications [3]、Windstream [4] など、複数の企業に影響を与えました。
ハッカーらは、米連邦政府が裁判所の許可を得たネットワーク盗聴要求に利用していた中核システムにアクセスし、政府高官レベルに至るまで、極めて機微な情報を傍受していた可能性があります。
FCCの方針に批判の声
同様のハッカー作戦のリスクが依然として変わらないことから、FCCの今回の決定には批判が寄せられました。
今回の決定に唯一反対票を投じたコミッショナーのアンナ・M・ゴメス氏は、通信事業者自身によるサイバーセキュリティ態勢と防御策の有効性の自己評価に依存することに対し、懸念と不満を表明しました。
「[FCCの] 提案された後退は、サイバーセキュリティ戦略ではありません」と、ゴメス氏は述べています。「それは希望的観測にすぎず、Salt Typhoon の侵害が発見された当日よりも、アメリカ国民をより無防備な状態に置くことになるでしょう。」
「Salt Typhoon は一度きりの出来事ではなく、国家支援の攻撃者が長期間にわたって通信ネットワークへ侵入することを狙った、より広範なキャンペーンの一部でした」と、ゴメス氏は声明の中で警告しました。
「連邦当局者は、公に、同様の偵察および悪用の試みが現在も継続しており、通信ネットワークは依然として外国の敵対勢力にとって高価値の標的であると述べています」と同氏は述べました。
上院議員のマリア・キャントウェル氏とゲイリー・ピーターズ 氏も、採決前にFCC宛ての書簡を送り、サイバーセキュリティ保護策を維持するよう機関に求めていました。
BleepingComputer はコメントを求めてFCCにメールを送っており、回答が得られ次第、本記事を更新します。
