世界を動かす技術を、日本語で。

FCCがカバーリストを更新し、外国製の消費者向けルーターを追加

2026年3月24日原文(fcc.gov)

概要

  • FCC が外国製ルーターの新規認証を禁止
  • 国家安全保障上の懸念が主な理由
  • 既存の認証済み製品は即時影響なし
  • HuaweiやZTEなど特定企業が対象
  • 米国内のネットワーク保護強化

FCC、外国製ルーターの新規認証を禁止

  • 米連邦通信委員会(FCC) は、 外国製ルーター の新規認証を禁止
  • 主な対象は 中国企業、特にHuaweiやZTEなど
  • 国家安全保障 への懸念が背景
  • 既存の認証済みルーターは引き続き販売・利用可能
  • 新たな認証申請や市場投入は制限
  • 米国内の通信インフラの安全性向上が目的
  • 重要インフラや一般家庭のネットワーク保護

背景と理由

  • 中国製ネットワーク機器 に対するスパイ活動やサイバー攻撃のリスク指摘
  • 米国議会 や安全保障機関からの強い要請
  • 2021年のSecure Equipment Actに基づく規制強化
  • HuaweiやZTEはすでに 米国政府調達から排除
  • その他Dahua、Hikvisionなども対象リスト入り

影響と今後の動向

  • 既存ユーザー には即時の影響なし
  • 企業や通信事業者は 新規導入時の選択肢制限
  • 米国内メーカーや他国製品の需要増加が予想
  • サプライチェーン再構築 やコスト増加の懸念
  • 他国でも同様の規制が広がる可能性

各メディアの報道要点

  • BBCCNET など主要メディアが速報
  • 国家安全保障と消費者保護が強調される論調
  • 業界関係者は「透明性と説明責任の強化」を評価
  • 一方、技術革新や市場競争への影響を懸念する声も

関連文書・公式発表

  • FCC公式発表(DOC-420034A1.pdfDA-26-278A1.pdf
  • FCCウェブサイトの関連ページ
  • Secure Equipment Actの概要と今後の施行スケジュール

Hackerたちの意見

海外で生産された消費者向けルーターって、アメリカで生産されてるのはあるのかな…?

だよね?エンタープライズ向けのルーター、例えばCiscoもアメリカでは作られてないし。

アメリカ製の缶と糸で作ったやつが必要な時だね。

でも、古いモデルはまだ買えるよね。> 下記に示すように、今日の措置は、消費者が以前に取得したルーターの使用を続けることには影響しないし、小売業者がFCCの機器認証プロセスを通じて以前に承認されたルーターモデルを販売、輸入、またはマーケティングすることを妨げるものではない。FCCのカバードリストのルールによって、今日課せられた制限は新しいデバイスモデルに適用される。アメリカの工場がルーターに見えるけど実際はスイッチ(ルーターのファームウェアが欠けてるから)を輸入して、ここで再フラッシュすることはできると思うよ…

台湾製じゃない消費者向けルーターってあるの?

アメリカで生産された消費者向けルーターは? スターリンク?

FCCは、「国家安全保障に対して受け入れられないリスクをもたらす」と判断された機器やサービスのリスト(カバードリスト)を維持してるんだ。最近、悪意のある国家や非国家のサイバー攻撃者が、海外で作られた小型やホームオフィス用のルーターの脆弱性を利用して、アメリカの市民に直接攻撃を仕掛けることが増えてる。脆弱性は製造国とは関係ないんだよ。いつも製造業者のセキュリティ対策がクソだから起こる問題だし。セキュリティの専門家たちはこの問題に20年間も注意を促してきたけど、製造業者はセキュリティを気にする必要がなかった。政府機関が安全なファームウェアを義務付けることはなかったからね。FCCもその一部で、デバイスにライセンスを与えてるし、FTCも(最近までは)消費者を守るための直接的な権限を持ってた。最近の後退は、これらの機関から消費者監視の能力を奪ったことだよ。今できるのは、キャンペーン寄付者に有利な保護主義的な政策を作ることだけ。アメリカにはクソみたいなセキュリティのデバイスが山ほどあるのは、こういう状況を自分たちで作っちゃったからだよ。

それが皮肉なところだよね。消費者向けのデバイスには、セキュリティ設定が緩かったり、「トラブルシューティング」や回復支援のためにバックドアが組み込まれてたりするのがたくさんある。これは外国製のデバイスに限った話じゃないんだ。セキュリティはレビュー過程に含まれていなかったし。実際に関心を持たれたのは、暗号化が絡んでいるときだけで、FBIが自分たちのバックドアを持つために無力化したいっていうだけなんだよね。

脆弱性は製造国とは関係ない。常に製造業者のひどいセキュリティ慣行が原因だった。ごめん、これはただの便利な言い訳だよ。ソースとしては、中国製のIoTデバイスの確かな証拠があるけど、その会社が後にひどいセキュリティ慣行を利用してエクスプロイトコードを注入したんだ。これは「プラウジブル・デナイアビリティ」って言って、偶然だと言うのは愚かだよ。外国の国家行為者が会社にバックドアを含めるよう圧力をかけるとき、それを「うっかり、うちのコードがひどいから笑」って隠すことはないって思わない?オープンにすることはないし、すべてクローズドソースのファームウェアなんだ。ほとんどの消費者ルーターのベンダーからのGPLパッケージもバイナリブロブがたくさん含まれてる。これを信じろって言うの?

製造業者はセキュリティを気にする必要がなかった。なぜなら、政府機関が安全なファームウェアを義務付けることはなかったから。問題は「安全なファームウェア」が相対的な表現だってこと。バグがないものを出荷しても、誰かがバグを見つけることがある。必要なのは政府の完璧さの義務ではなく、アップデートなんだ。でも、業者は3年後にはアップデートを止めたがるし、多くの消費者は15年使い続けるんだ。「長期間のサポートを要求する」って言っても、業者の多くは倒産するだろうし、解決にはならない。消費者がファームウェアを交換できる能力が必要だよ。それが問題を三つの方法で解決する。まず、会社が倒産しても、サポートされているサードパーティのファームウェアをデバイスにインストールできる。次に、それをすぐにできる。オープンソースのファームウェアは、最初からOEMよりもセキュリティの記録がいいから。そして三つ目は、デバイスがカスタムの専用ブラックボックスではなく、広く使われているオープンソースのファームウェアを動かしているから、政府や他の誰かが脆弱性を見つけてパッチを当てるのが簡単になる。

これには、デバイスをライセンスするFCCも含まれる。FCCは、デバイスが無関係な送信を引き起こす可能性がある範囲でデバイスにライセンスを与える。一般的な消費者保護機関ではないんだ。コンピュータセキュリティも、反競争的行為や不当な商業慣行から消費者を守るために存在するFTCの管轄外だし、クソみたいな製品から守るためではないんだ。

個人的には、メーカーからの更新ができるオープンソースの選択肢か、製品の寿命中の問題に対して直接的な責任を負うかの選択肢があった方がいいと思う。

Hacker Newsで議論の続きを見る