FCC、アメリカ市場から海外製造ルーターをすべて禁止

Siliconの一線

ネットワーク業界の多くを驚かせた動きで、連邦通信委員会は米国以外で製造されたルーターの新しい設備認証をもはや発行しないことを発表しました。この決定は、以前に承認された海外製造デバイスを遡及的に店の棚から削除しません——消費者と企業は既にFCC承認を得たハードウェアを購入し続けることができます——しかし、それは事実上、米国市場に進入している新しい外国ネットワーク機器のパイプラインを凍結します。

この決定は、国の通信インフラストラクチャを潜在的な外国の悪用から強化するためのワシントンの継続的な努力の中で、これまでのところ最も攻撃的なステップの1つをマークしています。ルーターは家庭および企業ネットワークの見えない背骨であり、トラフィックを指向し、セキュリティポリシーを実施し、多くの場合、機密データを処理しています。長年にわたり、セキュリティ研究者と情報担当官は、特定の外国の製造業者からのハードウェアが隠されたバックドアを含むか、敵対的な国家行為者によって遠隔で操作される可能性があることを警告しています。

禁止の背後にあるセキュリティケース

FCC のアクションは、海外の電気通信ハードウェアに対する数年にわたる規制的な攻撃に基づいています。委員会は以前にHuaweiとZTEの機器を禁止しており、FBIとサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーによって文書化された信頼できる国家安全保障の脅威を引用しました。これらの初期の禁止は、セルラーインフラストラクチャ機器を対象としていました。この新しいルーター判定は、その論理を消費者および中小企業ネットワークレイヤーに拡張します——米国のほぼすべての家庭および事務所内に存在するハードウェア。

セキュリティ担当者は長い間、ルーターレベルの侵害のリスクをフラグしてきました。リモートで修正されることが多いソフトウェアの脆弱性とは異なり、ルーターファームウェアまたはチップセットに埋め込まれたハードウェアバックドアは検出が極めて困難であり、デバイスを物理的に交換せずには実際には修復不可能です。侵害されたルーターは、暗号化されていないトラフィックを傍受したり、ユーザーを悪意のあるサーバーにリダイレクトしたり、高価値ネットワークをターゲットとするスパイ活動キャンペーンの永続的な足がかりとして機能したりする可能性があります。

FCC は、新しい禁止の対象となる特定の製造業者を公開していませんが、決定の広さ——命名された実体からのものだけでなく、すべての非米国製のルーターをカバー——は、委員会がケースバイケースのブラックリストアプローチから、ネットワークのエッジでの外国のハードウェアの構造的除外に移行していることを示唆しています。

誰が傷つき、誰が利益を得るか

直接的な影響は、主にアジアで製造された手頃な価格のネットワークハードウェアに依存してきた消費者や中小企業に最も厳しく落ちます。TP-Link、Asus、Netgearを含む主要なルーターブランドは、中国と台湾の製造施設に大きく依存しています。米国消費者ルーター市場の大部分を保有し、議会の調査官によるセキュリティ審査に直面したTP-Linkは、特に混乱する可能性があります。

国内製造能力を備えた米国本社企業——ネットワークハードウェアの領域では比較的短いリスト——は需要の大幅な成長を見る可能性があります。Cisco は米国でかなりの部分のエンタープライズネットワーキング機器を製造しており、少数の小さい米国サプライヤーは強制的な市場再構築から利益を得る可能性があります。ただし、アナリストは、消費者グレードの国内大規模製造は現在存在せず、構築に数年かかることに注意します。

サービスパッケージの一部としてサブスクライバーにルーターを提供するインターネットサービスプロバイダーは、即座の調達の頭痛に直面しています。キャリアは既存の在庫を監査し、サプライヤー契約を再交渉し、場合によっては準拠したサプライチェーンが確立される間、暫定的な承認または免除を求める必要があります。

業界と法的反発が予想される

判定は法的な異議を直面する可能性があります。電子メーカーを代表する商用団体は以前に、特定の製品での実証されたセキュリティ欠陥ではなく、原産地に基づく幅広い機器禁止は、世界貿易機関の規則と国内行政法の基準に違反していると主張しました。反対派は、FCC が実質的にインポート制限を課すことで、その法定権限を超えていると主張するかもしれません——この権限は従来、通商政策メカニズムを通じて議会と行政府に属しています。

市民の自由と消費者擁護組織も、禁止は安全保障の周りのフレームですが、セキュリティ結果を意味のある方法で改善することなく米国の家庭の価格を上げる保護主義的なメカニズムになる可能性があることについての懸念を提起しました。彼らは、すべてのルーター——原産地に関係なく——の厳格で独立して検証されたセキュリティ認証要件が、市場の歪みなしにより大きなセキュリティ利益を達成することを主張しています。

より大きな画像:国家安全保障の国境としてのハードウェア

FCC ルーター禁止は、ワシントンが国家安全保障の境界をどのように考えるかについて、より広い転換を反映しています。過去10年間、サイバーセキュリティポリシーは主にソフトウェアに焦点を当てています:オペレーティングシステムのセキュリティ、パッチング脆弱性、強化アプリケーション。そのアプローチは、ハードウェアが解決された問題であるか、少なくとも別の問題であると仮定しました。洗練されたサプライチェーン攻撃の啓示——最も注目すべきはサーバーハードウェアで発見された報告されたインプラントと、国家が後援するアクターによるネットワーク機器の文書化された侵害——はその仮定を粉砕しました。

ハードウェアセキュリティは現在、国家安全保障の議題にしっかりと固定されています。ルーター以上に、同様の精査はますます半導体、セルラーモデム、産業用制御システム、および衛星通信ターミナルに適用されています。FCC の動きは、米国の通信インフラストラクチャを支えるハードウェアスタック全体にわたって、国内製造要件または厳格な第三者セキュリティ認証制度を確立するための、はるかに広いプッシュの予告かもしれません。

禁止が最終的にセキュリティの目標を達成するか、単に基盤となる脆弱性に対処することなく恩恵を受けるサプライチェーンを再シャッフルするかどうかは、まだ見られているままです。明確なことは、ネットワークハードウェアをコモディティ調達の決定として扱う時代が——純粋に価格と入手可能性によって支配されている——終わりに近づいています。

この記事は Gizmodo のレポートに基づいています。オリジナル記事を読む。