連邦通信委員会(FCC)による外国製ルーターの禁止措置は実在する脅威に触れていますが、批評家たちは同機関のルールが過度に広範で実際には実行不可能であり、アメリカの政府機関や企業の大規模な侵害につながったルーターセキュリティの弱点を実質的には対処していないと述べています。
安全機器法と安全ネットワーク法に基づき、FCC は国家安全保障上のリスクと判断された外国の技術メーカーを禁止することができます。しかし、連邦政府はほぼ常に、中国の通信会社ファーウェイやロシアのアンチウイルス企業カスペルスキーなど、外国の敵対者との既知の問題のある関係がある特定の外国企業を狭く対象としてきました。
しかし、月曜日に発表された制限措置は、国防省またはホームランド・セキュリティ省から条件付き承認を得たものを除いて、「外国で製造された」すべてのルーターを単純に禁止しています。
この命令は、政府機関やビジネスによる非米国製ルーターおよびWi-Fiサービスの購入に対して、直ちに広範囲にわたる停止措置を実行し、次にどこで購入するか、またはすでにネットワークに組み込まれている外国製デバイスをどうするかについての未解決の問題を抱えています。
この決定を正当化する際、FCC議長ブレンダン・カーは、外国製ルーターが米国の国家安全保障に「容認できない」リスクをもたらすと結論付けた3月20日のホワイトハウス主導の省庁間報告書を引用しました。
「トランプ大統領のリーダーシップに従い、FCCは米国のサイバースペース、重要インフラ、およびサプライチェーンが安全で保護されていることを確認するために、私たちの役割を果たし続けるでしょう」とカーは述べました。
米国の政策立案者は、中国やロシアなどの国からの技術機器への依存が潜在的なサイバーセキュリティリスクについて懸念してきました。これらの国では、地元の法律により国内企業が国家安全保障調査に協力し、機密データを提供することを強制しています。
2024年、議会メンバーは、TP-Linkなどの中国系Wi-Fiおよびルーターメーカーを調査するよう商務省に求め、同社の「異常な程度の脆弱性と[中国]法への遵守要件」は容認できない国家安全保障リスクに相当すると主張しました。
昨年、5人の下院共和党委員会委員長は商務長官ハワード・ルトニックに、部門の権限を使用して「セキュリティの脆弱性をもたらす可能性があることが示されている国内サプライチェーンから中国および他の外国の敵対者によって作成された製品およびサービスを排除する」よう促しました。「直ちにアクションが必要な」産業の添付リストにはルーターおよびWi-Fiが含まれ、TP-LinkおよびファーウェイをTP-Linkおよびファーウェイを「中国またはその支配下の中国の」企業として言及していました。
ルーターの不安全性は大きな問題ですが、米国製製品は外国のハッキングから決して免除されていないことは注目に値します。Salt Typhoonなどの大規模な中国のハッキングキャンペーンは、中国製テクノロジーのバックドアのためではなく、米国と西洋製品における既知の以前に報告されていた脆弱性の悪用を通じて成功しました。
元米国情報機関の指導者の一人は、中国のような敵対者を扱う場合、原産地がより重要であると述べており、中国には国家安全保障および脆弱性開示法があり、中国のルーター企業がサイバーセキュリティの脆弱性をまず政府に開示することを要求しています。
しかし、中国製ルーターだけが、またはアメリカの直接のライバルによって作られたものだけが情報機関の懸念を引き起こしているのではありません。
グローバルでデジタルに接続された世界でさえ、近接性は依然として重要です。外国は、類似の部品、コンポーネント、またはインターネットインフラストラクチャに依存する可能性のある隣接または国境を接する国のサプライチェーンをより容易に混乱させたり感染させたりできます。
「攻撃者はルーターアクセスで何ができるかについて多くのオプションを持っています。それらを実行し、あなたの裏庭でアクセスする国を持っていれば、[それは]さらに簡単です」と要人は述べた。要人は率直に話すための匿名性を要請しました。
投資家も同様の結論を導き出している可能性があります。特に、アジアのルーター企業の株はFCC発表に続いて下落し、中国のサプライチェーンに依存していない米国の企業NetGearは株価が12%上昇しました。
新しいレバレッジのポイント
命令の広範な性質は、特定の企業に裁量で免除を配分する能力と共に、外国ルーター企業と米国政府との間の規制関係を効果的にリセットしています。それの下では、中国または海外で製造操業を持つ各企業は、ルールの免除のためにFCCに陳情しなければならないでしょう。
特に企業が免除を取得するために何をする必要があるかについての曖昧性は、プロセスを潜在的な悪用または政治的恩恵に開く可能性があります。専門家たちは述べました。
元FCC職員は、この動きに戸惑い、それが国家安全保障に関連しているかどうか、またはそれが裁判所で法的効力に耐えるかどうかについて疑問を呈しました。
外国の関係や過去のサイバーセキュリティの脆弱性の歴史を持つ対象となった企業を禁止プロバイダーのリストに追加する代わりに、政府が過去に行ったように裁判所で正常に防御されたものであるため、FCCは代わりに世界中のすべての外国製ルーターを禁止しようとしました。これは、多くのビジネスと政府が今日TP-Linkおよび他の外国企業をインターネットの必要性のために使用している環境では、潜在的に重大な破壊的なアクションを代表しています。
純粋な効果は、FCC同窓生が述べたように、「実際に外国ルーター企業のための条件付き承認の新しい連邦プログラムを作成している」ことであり、それは外国サプライチェーンから悪い行為者を効果的に削除するための大規模な組み合わせ連邦努力をかかるほど広いです。
「この政権が、CISAおよび他の機関で見た内容と大量の出発を考えると、消費者製品の全体的なベース全体を適切に対処するために、この種の膨大な揺さぶりに対処するために、洗練された、調整されたプログラムを実際に展開すると信じるのは難しいです」と、率直に話すために匿名で認可された役人は述べました。
職員は、今年初めに連邦航空局を通じた政権による、全国のドローン飛行を規制するための広範な権限を主張する試みを指摘し、法的根拠への同様の「大きな揺さぶり」並行があると述べました。ドローン禁止は現在裁判所で異議を唱えられており、職員は彼らがFCCのルーター命令が企業からの同様の訴訟の対象になることを期待していると述べました。
今月初め、カーはまた、オフショア・コール・センターに英語の言語要件を配置する新しい規制を提案し、「オフショア・コール・センターからの通話の量の制限を含む」米国ベースのコール・センターを設立するよう企業を「奨励する」ための潜在的なポリシーに関する公開の洞察を求めました。
カーはFCCが、関税または債券の的を絞った使用を調べることによって、海外からの違法な自動音声呼び出しをブロックするための努力で「新しい前線を開く」ことも述べました。
翻訳元: https://cyberscoop.com/fcc-bans-foreign-routers-critics-warn-about-supply-chain/
