ハクソク

世界を動かす技術を、日本語で。

FCCがカバーリストを更新し、外国製の消費者向けルーターを追加

46日前原文(fcc.gov)

概要

  • FCC が外国製ルーターの新規認証を禁止
  • 国家安全保障上の懸念が主な理由
  • 既存の認証済み製品は即時影響なし
  • HuaweiやZTEなど特定企業が対象
  • 米国内のネットワーク保護強化

FCC、外国製ルーターの新規認証を禁止

  • 米連邦通信委員会(FCC) は、 外国製ルーター の新規認証を禁止
  • 主な対象は 中国企業、特にHuaweiやZTEなど
  • 国家安全保障 への懸念が背景
  • 既存の認証済みルーターは引き続き販売・利用可能
  • 新たな認証申請や市場投入は制限
  • 米国内の通信インフラの安全性向上が目的
  • 重要インフラや一般家庭のネットワーク保護

背景と理由

  • 中国製ネットワーク機器 に対するスパイ活動やサイバー攻撃のリスク指摘
  • 米国議会 や安全保障機関からの強い要請
  • 2021年のSecure Equipment Actに基づく規制強化
  • HuaweiやZTEはすでに 米国政府調達から排除
  • その他Dahua、Hikvisionなども対象リスト入り

影響と今後の動向

  • 既存ユーザー には即時の影響なし
  • 企業や通信事業者は 新規導入時の選択肢制限
  • 米国内メーカーや他国製品の需要増加が予想
  • サプライチェーン再構築 やコスト増加の懸念
  • 他国でも同様の規制が広がる可能性

各メディアの報道要点

  • BBCCNET など主要メディアが速報
  • 国家安全保障と消費者保護が強調される論調
  • 業界関係者は「透明性と説明責任の強化」を評価
  • 一方、技術革新や市場競争への影響を懸念する声も

関連文書・公式発表

  • FCC公式発表(DOC-420034A1.pdfDA-26-278A1.pdf
  • FCCウェブサイトの関連ページ
  • Secure Equipment Actの概要と今後の施行スケジュール

Hackerたちの意見

海外で生産された消費者向けルーターって、アメリカで生産されてるのはあるのかな…?

だよね?エンタープライズ向けのルーター、例えばCiscoもアメリカでは作られてないし。

アメリカ製の缶と糸で作ったやつが必要な時だね。

でも、古いモデルはまだ買えるよね。> 下記に示すように、今日の措置は、消費者が以前に取得したルーターの使用を続けることには影響しないし、小売業者がFCCの機器認証プロセスを通じて以前に承認されたルーターモデルを販売、輸入、またはマーケティングすることを妨げるものではない。FCCのカバードリストのルールによって、今日課せられた制限は新しいデバイスモデルに適用される。アメリカの工場がルーターに見えるけど実際はスイッチ(ルーターのファームウェアが欠けてるから)を輸入して、ここで再フラッシュすることはできると思うよ…

台湾製じゃない消費者向けルーターってあるの?

アメリカで生産された消費者向けルーターは? スターリンク?

FCCは、「国家安全保障に対して受け入れられないリスクをもたらす」と判断された機器やサービスのリスト(カバードリスト)を維持してるんだ。最近、悪意のある国家や非国家のサイバー攻撃者が、海外で作られた小型やホームオフィス用のルーターの脆弱性を利用して、アメリカの市民に直接攻撃を仕掛けることが増えてる。脆弱性は製造国とは関係ないんだよ。いつも製造業者のセキュリティ対策がクソだから起こる問題だし。セキュリティの専門家たちはこの問題に20年間も注意を促してきたけど、製造業者はセキュリティを気にする必要がなかった。政府機関が安全なファームウェアを義務付けることはなかったからね。FCCもその一部で、デバイスにライセンスを与えてるし、FTCも(最近までは)消費者を守るための直接的な権限を持ってた。最近の後退は、これらの機関から消費者監視の能力を奪ったことだよ。今できるのは、キャンペーン寄付者に有利な保護主義的な政策を作ることだけ。アメリカにはクソみたいなセキュリティのデバイスが山ほどあるのは、こういう状況を自分たちで作っちゃったからだよ。

それが皮肉なところだよね。消費者向けのデバイスには、セキュリティ設定が緩かったり、「トラブルシューティング」や回復支援のためにバックドアが組み込まれてたりするのがたくさんある。これは外国製のデバイスに限った話じゃないんだ。セキュリティはレビュー過程に含まれていなかったし。実際に関心を持たれたのは、暗号化が絡んでいるときだけで、FBIが自分たちのバックドアを持つために無力化したいっていうだけなんだよね。

脆弱性は製造国とは関係ない。常に製造業者のひどいセキュリティ慣行が原因だった。ごめん、これはただの便利な言い訳だよ。ソースとしては、中国製のIoTデバイスの確かな証拠があるけど、その会社が後にひどいセキュリティ慣行を利用してエクスプロイトコードを注入したんだ。これは「プラウジブル・デナイアビリティ」って言って、偶然だと言うのは愚かだよ。外国の国家行為者が会社にバックドアを含めるよう圧力をかけるとき、それを「うっかり、うちのコードがひどいから笑」って隠すことはないって思わない?オープンにすることはないし、すべてクローズドソースのファームウェアなんだ。ほとんどの消費者ルーターのベンダーからのGPLパッケージもバイナリブロブがたくさん含まれてる。これを信じろって言うの?

製造業者はセキュリティを気にする必要がなかった。なぜなら、政府機関が安全なファームウェアを義務付けることはなかったから。問題は「安全なファームウェア」が相対的な表現だってこと。バグがないものを出荷しても、誰かがバグを見つけることがある。必要なのは政府の完璧さの義務ではなく、アップデートなんだ。でも、業者は3年後にはアップデートを止めたがるし、多くの消費者は15年使い続けるんだ。「長期間のサポートを要求する」って言っても、業者の多くは倒産するだろうし、解決にはならない。消費者がファームウェアを交換できる能力が必要だよ。それが問題を三つの方法で解決する。まず、会社が倒産しても、サポートされているサードパーティのファームウェアをデバイスにインストールできる。次に、それをすぐにできる。オープンソースのファームウェアは、最初からOEMよりもセキュリティの記録がいいから。そして三つ目は、デバイスがカスタムの専用ブラックボックスではなく、広く使われているオープンソースのファームウェアを動かしているから、政府や他の誰かが脆弱性を見つけてパッチを当てるのが簡単になる。

これには、デバイスをライセンスするFCCも含まれる。FCCは、デバイスが無関係な送信を引き起こす可能性がある範囲でデバイスにライセンスを与える。一般的な消費者保護機関ではないんだ。コンピュータセキュリティも、反競争的行為や不当な商業慣行から消費者を守るために存在するFTCの管轄外だし、クソみたいな製品から守るためではないんだ。

個人的には、メーカーからの更新ができるオープンソースの選択肢か、製品の寿命中の問題に対して直接的な責任を負うかの選択肢があった方がいいと思う。

管理者を批判するのが普通だってことは知ってるけど、彼らが言ってることはそうじゃないと思う。彼らが言いたいのは「彼らが残している脆弱性を知っていて、国家によって悪用されるまで修正しない」ということだと思う。正直、どんな消費者向けルーターも特別に安全ってわけじゃないし、最近は自分で作った方がマシだよ。

これはLoper Bright Enterprises対Raimondo(2024)の後の話だから、司法の審査に耐えられるかどうかが面白いね。FCCの権限がかなり弱体化したし、「外国製ルーターをすべて遅らせることに決めました」って感じは、以前の高い基準で叩かれたように思える。新しい基準はFCCにほとんど権限を与えないし。

仕事をするために弱体化させられた。腐敗した共和党の最高裁判事たちは、賄賂を集めるために行政にもっと権力を与えることにとても満足しているね。

もし安全な製品が欲しいなら、デバイスを禁止するんじゃなくて、ファームウェアを監査できるように開示させるべきだよね。

問題は、フラッシュチップのファームウェアがソースと一致していることをどうやって証明するかってことだよね。俺がディスアセンブラとピコを使ってフラッシュチップを読み取るって意味じゃなくて、無料Wi-Fiを提供するためにこのルーターを買う70歳の角の店のオーナーのことを言ってるんだ。

オープンファームウェアが商業的に成り立つといいな。ビジネスモデルを見つけるのは難しいけど。Software Conservancyがスポンサーになって、Banana Piが製造したOpenWRT Oneはすごくいい感じだよ。

まず、長年の禁止を解消するために議会が立法する必要があるかもしれないね。市場に(簡単に)ユーザーモディファイ可能なRFデバイスを提供することを禁止しているんだから。自己所有権と完全な「修理権」は、意図しない放送や放射を制限するためにFCCの規制に例外があるんだ。もしかしたら、ポスト・シェブロン環境でその挑戦が生き残るかもしれないけど、過去25年間の議会が現職の通信ロビイストの利益に反する法律を通すとは思えないな。もし法律が成立したとしても、すぐに「パッチ」が当てられるだろうね。本当に解決する方法は、業者を恥ずかしめて彼らの防御を開かせることだけだと思う。

じゃあ、どれくらいの消費者向けルーターが外国製じゃないの?

アメリカ製のルーターがあったら、喜んで買うよ!

このプレスリリースの部分はかなり重要だね:> DoWやDHSから条件付き承認を受けた消費者向けルーターの製造業者は、FCCの機器認証を引き続き受けることができる。つまり、外国製の消費者ルーターはデフォルトで禁止されているってこと。でも、もしあなたが製造業者なら、禁止解除の申請ができる(「条件付き承認」)。FAQには申請方法についてのガイダンスも載ってるよ:https://www.fcc.gov/faqs-recent-updates-fcc-covered-list-reg... 申請する場合、企業の所在地や管轄、所有権に関する情報が必要なんだって。原産国が記載された部品表や、外国製の部品が国内で調達できない理由の説明も求められる。ソフトウェアやアップデートを提供する会社についての情報も必要だし、アメリカ国内の製造を増やす計画とその進捗についても聞かれるみたい。だから、外国製の消費者ルーターはまだ販売できるけど、細かくチェックされるし、FCCの承認を利用して国内製造を増やそうとしてるってわけ。

トランプの「ボールルーム」や他の見栄えのプロジェクトに「寄付」(賄賂)をする会社が作ったルーターは、何があっても承認されるよ。他のことは関係ない。これはただの詐欺だね。

外国製の消費者向けルーターはまだ販売されるけど、細かくチェックされるし、FCCの承認を利用して国内製造を増やそうとするだろうね。君は中立的な技術的プロセスを前提にしてるけど、この政権はそれを提供する能力も意欲もないってことが十分に示されてるよ。この要件は、政府に直接(例えば、NVIDIAやAMDの輸出許可みたいに)お金を払ったり、何かを提供したりする機会になるだけだと思う。

外国製の消費者向けルーターはまだ販売されるけど、細かくチェックされるし、FCCの承認を利用して国内製造を増やそうとするだろうね。そんなことは起こらないよ。実際には、今の大統領の周りにお金を払う人は承認されて、払わない人はブロックされたままだと思う。この手法は関税の形で広まってるしね。

もし君(製造業者)が申請したら、企業の所在地や管轄、所有権に関する情報が必要になるよ。原産国を含む材料の明細書や、なぜ外国製の部品が国内で調達できないのかの理由も求められる。ソフトウェアやアップデートを提供するのは誰かの情報も必要だし、アメリカ国内製造を増やすための計画とその進捗も聞かれるよ。正直言って、これは素晴らしいことに聞こえるけど、実際には政権を豊かにするための党派的な裏口として使われることになるんだろうね。

デバイスメーカーにとって明らかな解決策は、一般的なコンピュータとして売ることだよね。すでにRaspberry Piのクローンから進化して、優れたDIYネットワーク機器になったデバイスがあるし、高速のイーサネットポートやSSDポートが複数あって、NASやプロキシサーバー、ファイアウォールなんかを運用するのに最適なんだ。ただ、WiFiの性能はあまり良くないことが多いけど、もしメーカーが従来のロックされたルーターやアクセスポイントとして売られていたハードウェアに、一般的なLinuxのインストールを含めて販売し始めたら、前述のハードウェアと十分に競争できると思う。

企業は消費者が買いたいものを売りたいんだよね。でも、平均的な消費者はこの仕事に一般的なコンピュータを求めてるわけじゃなくて、「ルーター」を買いたいと思ってる。もし企業がデバイスを「ルーター」以外のものとしてマーケティングしたら、消費者はルーティング用に買わないだろうね。(その一方で、一般的じゃない人たちは、一般的なコンピュータを自作のルーターやNAS、オールインワンボックスとして使いたいってことをもう知ってるし、実際に何十年もそうやってきた人も多いよね。)(しばしば、良いWiFiラジオを持つ専用のアクセスポイントと一緒に使われることが多い。)

アメリカ製のルーターが買えるなら、買わない? TP Linkの問題でOmadaからUbiquitiに切り替えたよ。

戦争が始まったら、たくさんの機器がシャットダウンするだろうね。WiFiを使って屋内のエリアを簡単にマッピングできる能力を示す多くの論文があって、それはリスクになる。言い訳は「関税」とかになるだろうけど、三文字の機関から「システムを改善しろ」って言われたって話も聞いたことがある。製品ラインを刷新するチャンスだよ!(もちろん、メモリ価格が高騰してる最悪のタイミングでね。)