FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に

米連邦通信委員会（FCC）が、外国製コンシューマールーターの新規認可を全面停止する前例のない措置を発表した。2026年9月1日から、海外で製造された新モデルのルーターは米国内での販売が事実上不可能になる。既存モデルについても2027年3月末までにセキュリティアップデート保証を提出しなければ、販売継続が認められない。

この決定の直接的な引き金となったのは、中国政府系ハッカー集団「Salt Typhoon」による大規模通信インフラ攻撃だ。2024年後半から2025年にかけて、AT&T、Verizon、T-Mobileなど米国の主要通信事業者9社以上が侵害され、政府高官の通話内容まで傍受されていたことが発覚した。FCCはこの事態を「米国通信史上最悪のセキュリティインシデント」と位置づけ、サプライチェーン全体の見直しに踏み切った。

Salt Typhoon攻撃とは何だったのか

Salt Typhoonは、中国の国家安全部（MSS）と関連があるとされるAPT（Advanced Persistent Threat）グループだ。「GhostEmperor」や「FamousSparrow」とも呼ばれ、少なくとも2019年から活動が確認されている。

2024年9月に初めて公になったSalt Typhoonの攻撃は、その規模と深刻さにおいて前例のないものだった。攻撃者は米国の主要通信事業者のネットワークに数か月から最長2年間にわたって潜伏し、以下の情報を窃取していた。

通話メタデータ: 誰が誰に、いつ、どのくらいの時間通話したかの記録
通話内容: 一部の政府高官・政治家の実際の通話音声
法執行機関の盗聴データ: CATTPプログラム（合法的盗聴システム）のデータ
テキストメッセージ: 暗号化されていないSMSの内容

特に衝撃的だったのは、2024年の大統領選挙期間中に、ドナルド・トランプ候補（当時）やJDバンス副大統領候補の通話が傍受対象になっていた可能性が指摘されたことだ。

FCC外国製ルーター規制のタイムラインと影響範囲

この図は、Salt Typhoon攻撃の発覚からFCCの規制決定に至るまでの時系列と、影響を受ける主要メーカーを示しています。

FCC規制の具体的な内容

FCCが発表した規制は、段階的に実施される3つのフェーズで構成されている。

フェーズ1: 新規認可停止（2026年9月1日）

2026年9月1日以降、海外で製造されたコンシューマールーターの**新規FCC認証（Equipment Authorization）**が停止される。これにより、新モデルのルーターを米国市場に投入することが事実上不可能になる。

対象となるのは以下の条件をすべて満たす製品だ。

家庭用・小規模オフィス用のWi-Fiルーター
最終組み立てが米国外で行われている
FCC Part 15に基づく認証が必要な無線機器

フェーズ2: 既存モデルのセキュリティ審査（2027年3月31日まで）

既に認証済みの既存モデルについては、メーカーが以下を提出する必要がある。

セキュリティアップデート保証: 最低5年間のファームウェアアップデート提供の確約
サプライチェーン透明性レポート: 部品調達先、ファームウェア開発元、製造工程の詳細
第三者セキュリティ監査報告書: 認定されたセキュリティ企業による侵入テスト結果

フェーズ3: 長期的な国内製造移行（2028年以降）

FCCは、将来的にはルーターの国内製造を推進する方針を示しているが、具体的なインセンティブや義務化のスケジュールはまだ発表されていない。

影響を受ける主要メーカー

この規制で最も大きな影響を受けるのは、以下の3社だ。

TP-Link（中国・深圳）

米国のコンシューマールーター市場で**シェア約65%**を占めるTP-Linkは、最大の影響を受ける。同社は2024年末から米国政府の調査対象となっており、商務省・国防総省・司法省が合同で安全保障上のリスクを評価してきた。

TP-Linkは規制発表を受け、以下の対策を発表している。

ベトナム工場への製造移管: 2026年末までに米国向け製品の80%をベトナムで製造
米国テキサス州に新工場建設: 2027年後半の稼働を目指し、初期投資$2億ドル（約300億円）
ファームウェア開発の米国移管: カリフォルニア州アーバインのR&Dセンターを拡充

ASUS（台湾・台北）

ASUSのルーター部門は、主に中国本土の工場で製造されている。同社は台湾企業だが、製造拠点が中国にあるため規制の対象となる。ASUSは台湾・桃園工場への一部生産移管を検討していると報じられている。

Netgear（米国・サンノゼ、製造は中国）

Netgearは米国企業だが、製品の大部分を中国で委託製造している。同社は声明で「規制の方向性は理解するが、製造拠点の移転には少なくとも18か月が必要」とコメントしている。

メーカー	本社所在地	主な製造拠点	米国市場シェア	対応状況
TP-Link	中国・深圳	中国→ベトナム移行中	約65%	ベトナム・米国に新工場
ASUS	台湾・台北	中国本土	約12%	台湾への一部移管検討
Netgear	米国・サンノゼ	中国（委託）	約10%	移転に18か月必要と表明
Arris/Surfboard	米国	中国・メキシコ	約8%	メキシコ工場拡張
Linksys	米国（Foxconn傘下）	中国・ベトナム	約5%	ベトナム移管加速

米国にルーター製造拠点がない現実

今回の規制が抱える最大の矛盾は、米国内にコンシューマールーターの量産工場が事実上存在しないという点だ。

エンタープライズ向けネットワーク機器を製造するCisco Systemsですら、主要な製造拠点はメキシコ、中国、マレーシアにある。米国内で組み立てているのは、軍事・政府向けの特殊なセキュリティ機器に限られる。

業界団体CTA（Consumer Technology Association）は、「規制の意図は理解するが、サプライチェーンの再構築には最低3〜5年かかる。その間、米国の消費者は選択肢が大幅に制限され、価格上昇は避けられない」と警告している。

調査会社IDCの推計によると、この規制により米国のコンシューマールーターの平均価格は30〜50%上昇する可能性がある。現在$80〜120（約12,000〜18,000円）で購入できるミッドレンジルーターが、$120〜180（約18,000〜27,000円）程度になる見込みだ。

主要ルーターメーカーのサプライチェーン移行計画と価格影響

この図は、主要メーカーの製造拠点移行計画と、消費者への価格影響の予測を示しています。

TP-Linkの米国移行計画の詳細

TP-Linkは今回の規制に最も迅速に対応しているメーカーだ。同社のCEOジェフリー・グー氏は、「米国市場は我々にとって最重要市場であり、あらゆる手段を講じて事業を継続する」と明言している。

具体的な移行計画は以下の通りだ。

短期（2026年9月まで）

ベトナム・ハイフォン工場の生産能力を現在の3倍に拡張
米国向け全製品のファームウェアを米国R&Dチームが管理
セキュリティ監査をCrowdStrikeに委託し、四半期ごとのレポートを公開

中期（2027年末まで）

テキサス州オースティンに新工場建設（初期投資$2億ドル）
年間生産能力500万台からスタートし、段階的に拡大
米国内の雇用創出約800名

長期（2028年以降）

米国向け製品の50%以上を国内製造
残りはベトナム・タイからの調達に切り替え
中国工場は中国国内市場・東南アジア市場向けに特化

ルーターのセキュリティリスクはなぜ深刻なのか

そもそも、なぜルーターがこれほどの安全保障上の懸念を引き起こすのか。それは、ルーターが家庭やオフィスのネットワークにおける唯一のゲートウェイだからだ。

ルーターが侵害されると、以下のリスクが生じる。

全トラフィックの傍受: ルーターを通過するすべての通信（暗号化されていないもの）を盗聴可能
DNS改ざん: ユーザーを偽サイトに誘導し、認証情報を窃取
ボットネット化: DDoS攻撃の踏み台として利用
IoTデバイスへの踏み台: ルーター経由で家庭内のスマートデバイスに侵入
VPN回避: ルーターレベルでの傍受はVPNを経由する前のトラフィックを捕捉可能

実際に2023年から2025年にかけて、中国系ハッカー集団「Volt Typhoon」がTP-Link製ルーターの脆弱性を悪用し、米国の重要インフラに対するサイバー攻撃の中継地点として使用していたことが確認されている。FBIは2024年1月、感染したルーターのボットネット「KV-Botnet」を解体する作戦を実施している。

消費者が今すぐできるセキュリティ対策

規制の施行を待つまでもなく、現在のルーターのセキュリティを強化するために、以下の対策を推奨する。

1. ファームウェアの最新化

ルーターの管理画面にアクセスし、ファームウェアが最新バージョンであることを確認する。多くのルーターは自動更新に対応していないため、手動での確認が必要だ。

2. デフォルトパスワードの変更

購入時のデフォルトパスワードを使い続けている場合、今すぐ変更すべきだ。1Passwordのようなパスワードマネージャーを使って、強力でユニークなパスワードを設定しよう。

3. VPNの導入

ルーターレベルでの傍受リスクを軽減するには、NordVPNのような信頼性の高いVPNサービスを導入することが効果的だ。特に公共Wi-Fiを利用する場合は必須と言える。

4. WPA3の有効化

ルーターがWPA3に対応している場合、必ず有効化する。WPA2と比較して、オフライン辞書攻撃への耐性が大幅に向上している。

5. リモート管理の無効化

外部からルーターの管理画面にアクセスする機能は、攻撃者にとって格好の侵入口になる。必要がなければ無効にしておこう。

日本への示唆——バッファロー・NECへの追い風

今回のFCC規制は、日本のネットワーク機器メーカーにとって大きなビジネスチャンスとなる可能性がある。

バッファロー

国内ルーター市場シェアトップのバッファローは、主力製品を**名古屋工場（愛知県）**で製造している。FCCの規制で中国製ルーターが締め出されれば、米国市場参入の好機が生まれる。実際、バッファローは2025年に米国法人を設立しており、北米市場の開拓を進めている。

同社のWi-Fi 7対応ルーター「AirStation WSR-11000XE12」は、国内製造かつ高いセキュリティ性能を持つ。米国市場で「Made in Japan」のセキュリティ優位性を訴求できれば、大きなシェアを獲得できる可能性がある。

NEC

NECプラットフォームズは、企業向けルーター「UNIVERGE IX」シリーズで国内市場において高い評価を得ている。コンシューマー向け「Aterm」シリーズも国内製造が中心だ。

NECは米国政府・軍向けのネットワークソリューションで既に実績があり、FCCの「国内製造推進」方針と親和性が高い。

日本政府の対応

日本政府も中国製通信機器のリスクに対して徐々に対応を強化している。2024年12月に改正された「経済安全保障推進法」では、基幹インフラの安全性確保が強化され、通信機器のサプライチェーン審査が義務化された。

ただし、コンシューマー向けルーターについては、日本では米国ほどTP-Linkのシェアが高くなく（日本のシェアはバッファローが約35%、NECが約20%、TP-Linkが約15%）、即座にFCCと同様の規制が導入される可能性は低い。

項目	米国（FCC規制後）	日本（現状）
主要メーカー	TP-Link 65%→縮小見込み	バッファロー 35%、NEC 20%
規制対象	外国製造ルーター全般	基幹インフラ機器のみ
製造拠点審査	義務化（2026年9月〜）	経済安保法で一部義務化
セキュリティ監査	第三者監査必須	メーカー自主基準
消費者への影響	価格30-50%上昇見込み	当面影響なし

今後の業界への波及効果

FCCのルーター規制は、今後さらに広範な影響を及ぼす可能性がある。

他のIoTデバイスへの拡大

FCCは声明の中で、「ルーターは最初のステップに過ぎない」と述べている。今後、監視カメラ、スマートスピーカー、スマートTV、IoTハブなど、家庭内ネットワークに接続するあらゆる外国製デバイスが規制対象になる可能性がある。

欧州・同盟国への波及

EUもすでに中国製通信機器に対する規制を強化しており、FCCの決定を受けてさらに加速する可能性がある。英国、オーストラリア、カナダなどFive Eyes同盟国も同様の措置を検討中だ。

サプライチェーンの「脱中国」加速

ルーターに限らず、テクノロジー製品全般のサプライチェーンにおいて、中国依存からの脱却が加速する。ベトナム、インド、メキシコへの製造移管が一層進むだろう。

まとめ——今すぐ取るべきアクション

FCCの外国製ルーター規制は、サイバーセキュリティと地政学が交差する象徴的な出来事だ。消費者・企業それぞれが今すぐ取るべきアクションをまとめる。

ルーターのファームウェアを最新版に更新する: 特にTP-Link製ルーターを使用している場合、ファームウェアの脆弱性が攻撃の入口になるリスクがある。管理画面から最新版を確認しよう
パスワードマネージャーでルーターの認証情報を管理する: 1Passwordを使って、ルーターの管理パスワードを強力なものに変更する
VPNを導入してネットワーク全体を暗号化する: NordVPNをルーターまたはデバイスレベルで設定し、トラフィックの傍受リスクを低減する
次回のルーター購入時は製造元を確認する: 日本であればバッファローやNECなど、国内製造の製品を選択肢に入れる
企業のIT担当者は、社内ネットワーク機器のサプライチェーンを棚卸しする: 中国製のアクセスポイントやスイッチが使われていないか確認し、リスク評価を行う

Salt Typhoon攻撃が示したのは、ネットワーク機器のセキュリティが国家安全保障に直結するという現実だ。FCCの規制は過激に見えるかもしれないが、今後のサイバー脅威の深刻化を考えれば、サプライチェーンの信頼性を確保するための必然的な一歩と言える。