米国「外国製ルーター禁止」の正体──安全保障か、産業保護か
セキュリティの名の下に、アメリカの家庭ネットワークはかえって危険になるかもしれない。ある公共政策学者の指摘が、禁止令の矛盾を鋭くえぐる。
セキュリティの名の下に、アメリカの家庭ネットワークはかえって危険になるかもしれない。ある公共政策学者の指摘が、禁止令の矛盾を鋭くえぐる。
「サイバーセキュリティの皮を被った産業政策」
米連邦通信委員会(FCC)が3月23日に発令した外国製ルーターの禁止令に、真正面から疑義を突きつける声が上がっている。
ジョージア大学公共政策学部教授でInternet Governance Projectの創設者であるミルトン・ミューラーは、3月28日の論考でこの政策を「サイバーセキュリティを装った産業政策」と断じた。FCCの決定は、すべての外国製家庭用ルーターを「カバードリスト」に追加し、新モデルのFCC認証を事実上停止するという大胆なものだ。しかしミューラーの分析に従えば、この禁止令はセキュリティ向上どころか、アメリカの家庭ネットワークをより脆弱にする可能性がある。
Today, the FCC took additional action to safeguard Americans and the communications networks we rely on.
— Brendan Carr (@BrendanCarrFCC) March 23, 2026
The FCC added consumer routers produced in foreign countries to the agency’s Covered List.
This action follows a national security determination provided by Executive Branch… pic.twitter.com/s3OoEo5NOV
FCC委員長のブレンダン・カーはXでこの決定を発表し、外国製ルーターがサプライチェーンの脆弱性と深刻なサイバーセキュリティリスクをもたらすと強調した。だが、その論拠はどこまで堅牢なのだろうか。
FCCの根拠と、その「穴」
FCCが禁止の根拠として挙げたのは2つ。ひとつはCISAとFBIによる分析で、Volt TyphoonやSalt Typhoonといった中国系攻撃グループがSOHOルーターを踏み台にしたという報告。もうひとつは商務省の調査で、消費者向けルーターのサプライチェーンの85%が中国に集中しているという「構造的脆弱性」だ。
一見もっともらしい。だがミューラーはどちらの論拠も、禁止令を正当化しないと主張する。サプライチェーンの集中は事実でも、禁止が正しい処方箋かは別の話だ。
Typhoon系キャンペーンの歴史において、製造段階で仕込まれたハードウェアレベルのバックドアは一件も確認されていない。攻撃者が悪用したのは、パッチ未適用の脆弱性、変更されないデフォルトパスワード、公開されたままの管理ポートだった。
つまり、攻撃者が突いたのは「どこで作られたか」ではなく「どう管理されていたか」の問題だ。製造地を基準にした禁止は、問題の本質から外れている。
「Made in USA」の幻想
ミューラーが特に鋭く指摘するのは、「国産」という概念そのものの空虚さだ。
アメリカ製と銘打ったルーターでも、その中身は世界の共同作業で成り立っている。Linuxカーネルはグローバルなコントリビューターが保守し、Wi-Fiドライバは台湾で書かれ、オープンソースライブラリは世界中の開発者が管理する。組み立て工場の所在地だけを見て「安全」と「危険」を線引きするのは、ソフトウェアという論理的サプライチェーンを完全に無視した発想だ。
実際、DHS・NSAなどが公開したサイバーセキュリティ勧告によれば、Typhoon系ボットネットに利用された侵害の90%以上は米国ベースのプロセッサアーキテクチャが関与しており、JuniperやFortinet、Atlassianといった「敵対国」とは無縁の企業の製品が悪用されていた。
組み立てラインの場所に注目することで、FCCはソフトウェアの論理的サプライチェーンを見落としている。UPnPの実装が不完全な米国組み立てのルーターは、外国製のそれとまったく同じように脆弱だ。──ミルトン・ミューラー
新しい機器を禁じ、古い機器を放置する逆説
この禁止令の最大の矛盾は、新製品のみを対象としている点にある。
Volt Typhoonが狙ったのは、サポート終了済みの旧型ルーターだった。古い暗号化規格(WEP/WPA)しか使えず、セキュアブートもTPMも搭載していない機器だ。一方で最新のWi-Fi 7/Wi-Fi 8ルーターは、WPA3の必須化、自動アップデート、ファームウェアのデジタル署名など、まさに攻撃者が悪用してきた弱点を潰す設計になっている。
禁止令はその「最も安全な新型」を市場から締め出し、消費者は割高な代替品を探すか、手元の脆弱な旧型機器を使い続けるかの二択を迫られる。ミューラーの結論は明快だ。
2019年製のルーターを手頃な価格で買い替えられなくなれば、米国全体の攻撃対象面はむしろ拡大する。
Netgearの株価が語る「受益者」
禁止令の発表後、米国企業Netgearの株価は急騰した。投資家は、外国製ルーターの競争が減少し、Netgearが免除を取得すると見込んだのだ。
その上昇幅は最大16.7%に達した。背景には見逃せない事実がある。
Netgearは「サイバーセキュリティと中国との戦略的競争」に関するロビー活動に資金を投じてきた。対象にはROUTERS Act(Removing Our Unsecure Technologies to Ensure Reliability and Security Act)も含まれる。禁止令発表後、Netgearの広報は「アメリカ人にとってより安全なデジタルの未来に向けた一歩」と歓迎のコメントを出した。
皮肉なことに、Netgear自身もルーターを海外(ベトナム、タイ、インドネシア、台湾)で製造している。だが同社は中国からの製造移転を進めており、免除取得のポジションでは有利とされる。一方、中国で創業し現在はカリフォルニアに本社を置くTP-Linkは、最も打撃を受ける立場だ。
セキュリティを守るはずの政策が、特定企業の競争環境を整える結果になるなら、それは安全保障ではなく産業政策と呼ぶべきだろう。
禁止のタイムラインと現実
FCCの禁止令は段階的に発効する。3月23日時点で新モデルのFCC認証は停止済み。2026年9月からは小売業者による新規在庫の輸入も禁止される。そして2027年3月以降は、既存のレガシー機器へのセキュリティパッチすら、外国発のものは連邦監査の対象となる。
問題は、米国で消費者向けルーターを製造している企業がほぼ存在しないという現実だ。現時点で米国製と確認できるのは一部のStarlinkルーター(テキサス製造)程度とされる。Netgear、ASUS、Google Nest、Amazon Eero──主要ブランドのすべてが海外製造に依存している。
免除申請の道は用意されているが、審査には経営構造や製造拠点の詳細な開示が求められ、最終的には米国内での製造計画の提示も必要とされるとの報道もある。薄利なルーター市場で、数年がかりの設備投資を正当化できるメーカーがどれだけあるのか。
「外国製」という基準の限界
ミューラーの批判は、ルーター禁止令だけに向けられたものではない。半導体輸出規制、TikTok禁止と続く一連の政策に共通するパターン──「国家安全保障の旗印の下で、競争からの保護を求める者たちが利益を得る」構造への問題提起だ。
国家が支援するサイバー攻撃のリスクは実在する。それは誰も否定していない。だが、その解決策として「地理的な禁止」を選ぶことが、アメリカのデジタルホームを本当に守ることになるのか。
技術的な脆弱性は国境を越える。パッチの当たっていないルーターは、どこで組み立てられたかに関係なく危険だ。禁止令が守るのはアメリカの家庭なのか、それともアメリカの特定企業なのか。その答えは、半年後の免除リストが教えてくれるだろう。
参照元
- Internet Governance Project - Fake Cybersecurity: The FCC Router Ban(ミルトン・ミューラー論考)
- FCC公式 - Covered List更新に関するファクトシート
#FCC #ルーター #サイバーセキュリティ #Netgear #TP-Link #VoltTyphoon #SaltTyphoon #米中対立 #ネットワーク
