米国連邦通信委員会(FCC)は、海外で製造された新規の消費者向ルーターが米国市場に入ることを禁止することで、国の技術サプライチェーンを保護するための大きな一歩を踏み出しました。
更新された「対象リスト」により、海外で生産された新規のルーターモデルはもはやFCC機器認可を受けません。
この認定は、デバイスが米国にインポート、マーケティング、または販売されるために必須であるため、この措置は実質的にこれらの製品が消費者に届くことをブロックします。
この決定は、ハードウェアレベルの脅威および幅広い懸念と、サイバー諜報およびインフラ攻撃におけるネットワークデバイスの役割を反映しています。
ルーターは、ホームネットワークとエンタープライズネットワークの両方の重要な部分であり、内部システムとインターネット間のゲートウェイとして機能します。
セキュリティ機関は、これらのデバイスの脆弱性が監視、データ窃盗、および大規模なサイバー作戦に悪用される可能性があると、ますます警告しています。
最近の脅威インテリジェンス報告は、Volt Typhoon、Flax Typhoon、Salt Typhoon作戦を含む複数の有名なキャンペーンに外国製ルーターをリンクしました。
これらのキャンペーンは、通信、エネルギー、防衛システムを含む米国の重要インフラセクターを標的としました。
攻撃者は、安全でないファームウェア、隠されたバックドア、および弱いパッチングメカニズムを利用して、ネットワークへの永続的なアクセスを取得しました。
観察されたシナリオの1つでは、侵害されたルーターがプロキシノードとして使用され、攻撃者が敏感なネットワーク全体で横方向の移動を実施しながら、その起源をマスキングすることができました。
この技術により、検出がより困難になり、長期的なスパイ活動が可能になりました。
米国政府は、そのようなデバイスが「深刻なサイバーセキュリティリスク」として説明したもので、国防作戦と経済的安定を混乱させる可能性があると結論付けました。
FCCの行動は、重要なシステムにおける外国の管理下にある技術への依存を減らすことを優先する2025年米国国家安全保障戦略で概説された、より広い国防目標と一致しています。
安全で信頼できる通信ネットワークス法は、国家安全保障機関からの推奨に基づいて、対象リストを維持および更新するための法的枠組みを提供しています。
FCC委員長のブレンダン・カーは、この決定は消費者とインフラの両方を通信ハードウェアに組み込まれた脅威から保護するために不可欠であることを強調しました。
サイバーセキュリティおよびインフラセキュリティ機関(CISA)も、対象リストをリスク管理および調達戦略に統合することを組織に助言しています。
厳格な規制の転換にもかかわらず、FCCは禁止が新規ルーターモデルのみに適用されることを明らかにしました。影響を受けるデバイスをすでに所有している消費者は、制限なく使用を続けることができます。
同様に、小売業者は以前に認可された製品の既存在庫を販売することが許可されています。
イノベーションと競争を完全に制限することを避けるため、FCCは条件付き承認メカニズムを導入しました。
製造業者は、自社のデバイスが厳格なセキュリティ要件を満たし、受け入れられないリスクをもたらさないことを実証できれば、依然として認可を求めることができます。
そのような免除の申請は、国土安全保障省を含む関連当局によって審査される必要があります。
この動きは、ハードウェアサプライチェーンの保護へのより広い転換を示しており、これはソフトウェア脆弱性と比較してしばしば見落とされている領域です。
ルーターのようなネットワークエッジデバイスを標的にすることで、規制当局は最新のサイバー作戦で頻繁に悪用される重要な攻撃面に対処しています。
地政学的緊張とサイバー脅威が増加し続けるにつれて、同様の制限は他のカテゴリーの接続デバイスに拡大する可能性があり、グローバル技術エコシステムにおける信頼できる製造および透明なセキュリティ慣行の重要性を強化します。
翻訳元: https://cyberpress.org/fcc-blocks-new-consumer-routers/