FCCが「海外製の新規コンシューマールーター」輸入を原則禁止へ——サプライチェーンと国防の交差点に立つ決定です

今日の深掘りポイント

• これまでの「特定ベンダー禁止（Covered List）」から「製造地（海外）起点の網羅的な輸入規制」へと舵が切られた可能性が高く、調達・在庫・価格に短期で波及します。
• 例外承認のゲートをDoD/DHSが握る設計は、実務的には“国家安全保障フィルタを通したプロキュアメント”を意味し、サプライヤーの適格性審査（origin、SBOM、更新体制、脆弱性対応）が一段深くなります。
• PRC関与アクターによるSOHO/家庭用ルーター悪用（プロキシ化・踏み台化）の実態と、FCCの規制設計が噛み合い始めたのが今回のポイントです。セキュリティは仕様だけでなく流通段階で担保する局面に入っています。
• 日本企業のグローバル調達・米国拠点運用にも影響。米国内SKUの再設計、第三国アセンブリやODMを経由する“原産地の再定義”への依存はリスクとなります。
• 現場は「政策→供給ひっ迫→代替機種→構成管理」の順で揺れます。いま決めるべきは、EoL家庭用ルーターの温存をやめ、ゼロトラスト前提の“ホームネットワークは不信”設計に寄せることです。

はじめに

米連邦通信委員会（FCC）が、サイバーセキュリティ上の受け入れ難いリスクを理由に「海外で製造された新しい消費者向けルーター」の米国への輸入を原則禁止する命令を出したと報じられています。既存の機器の使用は即時の影響を受けない一方、新規デバイスは国防総省（DoD）または国土安全保障省（DHS）の承認を経れば例外が認められる仕組みになるとされています。報道は、中国支援のハッキンググループによる脅威と、家庭・SOHOルーターの脆弱性悪用を背景に挙げています［参考：TechCrunch］。

FCCはすでに2022年、国家安全保障上の懸念がある特定企業（Huawei、ZTEなど）について新規の機器認可（Equipment Authorization）を停止するルールを採択しており、いわゆる「Covered List」体制を整えています［FCC Covered List］。今回はこれを“特定企業”から“製造地起点”へ広げる一段の強化という位置づけになりそうです。

他方、技術的背景としては、PRC関連アクターがSOHO/家庭用ルーターをマルウェアや中継基盤として悪用し、重要インフラ侵入の足場にしているという複数の政府系アドバイザリが存在します。とくに「Volt Typhoon」に関する共同勧告は、検知回避とプロキシ化の実態を具体的に示しており、CPEレイヤの衛生管理が国家安全保障の論点と直結していることを可視化しました［CISA/NSA/FBI Joint Advisory AA23-144A］。

本稿では、報道ベースで見える政策の骨格と、これが現場のCISO・SOCに何を要求するかを解きほぐします。メトリクスの印象は、新規性と影響度が高く、一方で即応すべき実務論点も少なくない、というバランスです。供給面ショックを過小評価せず、短期の代替調達と中長期の家庭ネットワーク設計刷新を同時に進めるべき局面です。

深掘り詳細

事実関係（一次情報で裏打ちできる背景）

• FCCは2022年、国家安全保障上の懸念がある機器について、新規の機器認可を停止する規則を採択しています。対象企業は「Covered List」に掲載され、同リストは随時更新されています。これにより該当企業の新規機器は米市場で事実上流通できない設計となりました［FCC Covered List］。
• PRC関連の国家支援アクターが、家庭・SOHO向けルーターを踏み台（プロキシ）として悪用する実態は、米政府・同盟国の共同勧告で繰り返し指摘されています。たとえばVolt Typhoon事案では、既存の正規ツールや装置を使って痕跡を最小化しつつ、SOHO機器を中継点として重要インフラに対する事前配置を進める手口が整理されています［CISA/NSA/FBI AA23-144A］。

上記は既存の公開資料で確認できる土台です。今回の「海外製新規コンシューマールーター輸入禁止」については、現時点では報道が先行しており、FCCの最終文書（Report and Order、Public Notice等）の細部は今後の公表・解釈待ちの要素が残ります［TechCrunch］。

インサイト（政策設計と実務への示唆）

• リスクベースからオリジンベースへ：Covered Listは「誰が作ったか（企業）」を軸にしたバンでしたが、今回の輸入禁止は「どこで作ったか（製造地）」が軸に見えます。セキュリティがスペックや脆弱性管理の良し悪しではなく、サプライチェーンの地政学的属性で判定される領域に踏み込んだ格好です。これは短期に効きますが、中長期はODMの多層化や“原産地ラベリングの最適化”で回避設計が生まれやすいという副作用を伴います。
• 「例外承認」ゲートの実務：DoD/DHS承認という例外は、裏を返せばセキュリティ評価の審査ポイントが明確化することを意味します。少なくとも、ファームウェアの署名・セキュアブート、脆弱性対応SLA、クラウド依存機能のデータ経路、SBOM提供、第三者監査（ペネトレーション、ソースコードレビュー）、更新配布のサプライチェーン検証（鍵管理・署名バリデーション）といった観点が前提条件化するはずです。サプライヤー側は“証明できるセキュリティ”へ移行しない限り、米市場での新規流通が詰まります。
• 市場インパクトの位相：直近は調達の目詰まり（SKU不足・価格上昇・納期延伸）に備える必要があります。次に、小売・ISPのCPE戦略が「国内最終組立」「信頼できるサプライヤー証跡」へシフトします。最後に、エンタープライズは「自宅ネットワークはゼロトラスト前提」という思想が定着し、CPE要件書と在宅勤務規程がセキュリティ主導で書き換わる流れになります。
• 防御側の利点と課題：国家レベルの流通規制は、ボット化に供される機器の新規流入を抑制する点で防御側に有利です。ただし、既設・EoL機器の残置こそが実害の主因である現実は変わらず、企業側の家庭用CPE衛生を改善しない限り、脅威は形を変えて残存します。政策と現場のギャップを埋める主役は、結局のところCISO/SOCです。

脅威シナリオと影響

以下は、公開アドバイザリや過去事例に基づく仮説シナリオです。MITRE ATT&CKの観点を併記します。

• シナリオ1：SOHOルーターのプロキシ化による重要インフラへの潜行

  • 仮説：攻撃者は既知/未知の脆弱性でSOHOルーターに侵入し、設定を改変してC2中継点化。企業ネットワークへのリモートアクセスの踏み台にし、通信を正規トラフィックに偽装して長期潜伏します。
  • 代表TTP：
    • T1190 Exploit Public-Facing Application（ルーター管理UI/サービスの脆弱性悪用）
    • T1090 Proxy（.002 External、.003 Multi-hop：プロキシ連鎖による出自秘匿）
    • T1071.001 Application Layer Protocol: Web Protocols（HTTPS偽装のC2）
    • T1562.001 Impair Defenses: Disable or Modify Tools（ログ・管理UIの無効化/隠蔽）
    • T1021 Remote Services（SSH/Telnet/VPN経由の横移動）
  • 影響：検知の難易度が高く、踏み台の大半が“家庭回線”であるためブロック判断に迷いが生じます。MSSPやクラウドへの疑似正規通信でSIEMのシグナル疲労が悪化します。

• シナリオ2：ハードウェアサプライチェーン段階でのファームウェア汚染

  • 仮説：製造・物流段階でファームウェアにバックドアや不正更新機構が混入。出荷時点からC2へのビーコンや後日有効化される隠し管理者機能が埋め込まれます。
  • 代表TTP：
    • T1195.003 Supply Chain Compromise: Compromise Hardware Supply Chain
    • T1553 Subvert Trust Controls（署名/検証プロセスの骨抜き）
    • T1105 Ingress Tool Transfer（不正アップデートでのペイロード導入）
  • 影響：ユーザー側のパッチ適用では解消不能。ロット単位での製品リコールや禁輸指定に直結し、在庫損失・交換費用が増大します。

• シナリオ3：EoL家庭用ルーター群を束ねた隠密ボットネット

  • 仮説：サポート切れの普及機を狙い撃ちし、暗号化C2と日常トラフィックに紛れる低レート通信で持続。DDoSではなく、認証試行や横移動のための“静かな踏み台”として使います。
  • 代表TTP：
    • T1110 Brute Force（既定/弱いパスワード）
    • T1133 External Remote Services（公開VPN・リモート管理の悪用）
    • T1046 Network Service Discovery（周辺探索）
    • T1090.003 Multi-hop Proxy（踏み台連鎖）
  • 影響：国家主導の摘発や流通規制があっても、長寿命の“旧型在庫”が生む残存リスクは高止まりのままです。企業は在宅勤務者の家庭側CPEを前提にした脅威モデルを更新する必要があります。

セキュリティ担当者のアクション

短期（0–90日）

• 調達・法務・SOCの虎の巻

  • 米国内拠点/子会社のCPE購買を棚卸しし、「新規導入予定の家庭/小規模オフィス向けルーター」を優先的に代替候補へ差し替えます。輸入事業者（Importer of Record）と販売代理店に、該当SKUの供給見通しと例外承認の可否を確認します。
  • ベンダーアテステーション要求（製造地、最終組立、サプライチェーンの可視化、SBOM、署名付き更新、脆弱性対応SLA、CVDポリシー）をRFP/調達条件に明文化します。
  • 在宅勤務ポリシーの改定案を用意。「自宅LANはゼロトラスト前提」「リモート管理の無効化（UPnP/外部管理オフ）」「既定パスワード禁止」「更新自動化」を義務化します。

• 検知・防御の即効策

  • プロキシ/VPN/SSHの外向き通信を、企業管理エンドポイント発・企業プロキシ経由に制限するアウトバウンド制御を見直します。家庭回線発の異常な東アジア向けC2様通信のウオッチリストを最新化します。
  • CASB/EDR/ゼロトラストクライアントのテレメトリで、「住宅系ASNからの高リスク認証/管理系トラフィック」を検出・ブロックするルールを導入します。

中期（3–12か月）

• アーキテクチャの正攻法

  • “ホームルーター依存を下げる”設計へ。SASE/SD-WANクライアントでエンドポイントから企業PoPへ直接暗号化し、家庭内CPEは“アンマネージドなL2/L3パス”として扱う設計に寄せます。
  • CPEガイドラインを策定（セキュアブート、署名更新、WPA3、DoH/DoTの企業ポリシー整合、ログエクスポート可否など）し、従業員向けに推奨機種リストを公開します。

• ベンダー・在庫戦略

  • 代替サプライヤーの二重化（米州/同盟国生産ライン）を進め、SKUごとに生産地をラベル化。DoD/DHSの例外承認が必要な場合の手順書と所要期間を見積もり、案件計画に反映します。

長期（12か月以降）

• ガバナンスとラーニング
  • ルーター/ゲートウェイを“ソフトウェア製品”として扱い、SBOMと脆弱性ライフサイクル管理を年次監査の対象にします。Covered Listや規制の更新検知を自動でチケット化する仕組みをSOCに組み込みます。
  • 検知優位性の獲得へ。MITRE ATT&CKのT1090系（プロキシ化）とT1190（公開アプリ悪用）を主軸に、在宅環境由来の異常セッション検出シグネチャを自社環境に最適化します。

最後に。政策はスイッチのON/OFFですが、現場はつねにアナログです。いま必要なのは、調達の健全性（証明可能なセキュリティ）と、ネットワーク設計の健全性（不信前提のエッジ）の両輪を、静かに、しかし確実に回し始めることです。今回の動きは、私たちにその背中を押してくれるはずです。

参考情報

• TechCrunch: FCC bans import of new consumer routers made overseas, citing security risks（2026-03-24）https://techcrunch.com/2026/03/24/fcc-bans-import-of-new-consumer-routers-made-overseas-citing-security-risks/
• FCC Covered List（国家安全保障上の脅威と見なされた通信機器・サービスの一覧）https://www.fcc.gov/supplychain/coveredlist
• CISA/NSA/FBI Joint Cybersecurity Advisory AA23-144A（Volt Typhoon: Living off the Land）https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a