米国連邦通信委員会(FCC)は、米国の国家安全保障に対する「許容できないリスク」を理由に、外国で製造されたすべての「消費者向け」インターネットルーターの輸入および販売を禁止しました。
3月23日にFCC公開通知で発表されたこの禁止は、外国で製造されたすべてのそのようなルーター(単に数社の選別された中国ベンダーに限らない)が、FCC対象リストに掲載されていることを意味します。
唯一の例外は、米国防総省(DoD)または国土安全保障省(DHS)から条件付き承認を受けたルーターです。本稿執筆時点では、例外リストにはドローンシステムとオンライン監視システムのみが含まれています。
同機関は、外国製ルーターが米国の重要な通信、エネルギー、輸送および水道インフラを標的としたVolt、FlaxおよびSalt Typhoonのサイバー攻撃に「直接関与していた」ことを強調しました。
消費者向けルーターが標的に
公開通知は米国のすべての外国製ルーターの一括禁止に聞こえるかもしれませんが、FCC はNIST内部報告書8425Aで定義されている「消費者向けルーター」、つまり「住宅用途を想定し、顧客がインストールできる」ものを特に禁止しました。
現在使用中の既存のWi-Fiおよび有線ルーターは制限なく動作し続ける可能性があります。
さらに、特定の外国製ネットワーク機器に対してFCC無線認可を以前に確保した企業は、それらの承認されたモデルの輸入を維持することが許可されています。
しかし、ほぼすべての消費者向けルーターが米国外で製造されているため、FCC の措置は事実上、将来の消費者向けルーターモデルの大多数の輸入を禁止しています。
Keeper SecurityのCISO、Shane Barneyは、原産国のリスクだけに焦点を当てることは、より広範なセキュリティ課題を過度に単純化していると警告しました。
「エンタープライズ環境では、ルーターとネットワークデバイスは単なる接続性ツールとしてではなく、従来のセキュリティ監督の外に位置する高価値な制御ポイントとして見られています。そのリスクは、製造地理ではなく、しばしば脆弱なガバナンスを通じて悪化します」と彼は述べました。
「ネットワークインフラストラクチャは頻繁に管理不足で、一貫したパッチが不足しており、最新の識別およびアクセス管理フレームワークとの統合なしで動作しています。これは、企業環境への永続的で低視認性のアクセスを求める攻撃者にとって理想的な足がかりを作成します。」
例えば、Volt Typhoon と Salt Typhoon のサイバー攻撃では、中国の国家支援ハッカーが主にCiscoおよび Netgear ルーターの脆弱性を悪用しました。これらのルーターは、メーカーがそれらの特定のライフエンド モデルのセキュリティアップデートを中止したため、脆弱でした。
米国企業の Netgear は、台湾やベトナムなどの場所でルーターを製造していると理解されており、この企業は禁止の影響を大きく受ける可能性があります。
2つの大手中国ルーターメーカーである Huawei と ZTE は 2021 年に機関の対象リストに掲載されました。
別の中国プロバイダーであるTP-Linkは、米国で依然として広く使用されています。同社は、中国との関係を減らすための最近のステップを取っており、2022 年の企業再編を含め、中国の親会社から分離されました。
2024 年には、同社はカリフォルニアにグローバルヘッドクォーターを設立しました。TP-Link は 2025 年 11 月に、TP-Link が中国政府によって浸透していると示唆したとして、米国企業 Netgear を訴えました。
翻訳元: https://www.infosecurity-magazine.com/news/us-fcc-bans-foreign-made-routers/
