米国がTP-Linkルーターの禁止を検討中 ― 心配すべきか？

TP-Linkは米国で最も人気のあるルーターメーカーの一つですが、中国とのつながりに関するセキュリティ上の懸念から、サービス停止の可能性に直面しています。ウォール・ストリート・ジャーナルの12月の報道によると、米国商務省、国防総省、司法省がTP-Linkを捜査していますが、意図的な不正行為の証拠はまだ出ていません。

「当社は米国企業です」とTP-Linkの社長ジェフ・バーニー氏はWIREDに語った。「中国本土に特化しているTP-Link Techとは一切関係がなく、独立性を証明することができます」

この調査は、ミシガン州選出の共和党議員ジョン・ムーレナール氏とイリノイ州選出の民主党議員ラジャ・クリシュナムーティ氏からの書簡をきっかけに始まった。両氏は米国と中国共産党の戦略的競争に関する下院特別委員会の委員を務めている。両氏は、中国政府が支援するハッカーがTP-Linkのルーターを他のブランドよりも容易に侵害し、米国のシステムに侵入する可能性があるという懸念を表明した。また、TP-Linkは中国の法律の適用を受けており、中国の情報機関から米国の機密情報の提供を強制される可能性があるという懸念も表明した。

TP-Linkは1996年に2人の兄弟によって中国で設立され、TP-Link USAは2008年に設立されました。中国と米国の部門が分離したのは2022年になってからでした。バーニー氏によると、170の子会社と関連するすべての所有権を香港から米国に移管するプロセスはパンデミックの影響で遅れましたが、2024年までに売却と再編が完了しました。

TP-Linkは現在、カリフォルニアに本社、シンガポールに支社を置き、ベトナムで製造を行っています。バーニー氏によると、チップセットを除くすべての研究開発、設計、開発、製造を自社で行っています。「中国にある当社の事業所は当社が直接管理しており、従業員の身分証明書の交付やセキュリティ管理も当社が行い、自社施設で働いています」と彼は述べています。また、TP-Linkは捜査当局に文書を共有しており、ベトナムの工場はウォルマート、ベスト・バイ、コストコといった米国の小売パートナーによる監査を受けているとも述べています。

「中国では誰もがNexusを持っている」とバーニー氏は言う。彼は、アメリカのライバル企業であるネットギアが中国のODM（Original Device Manufacturer：オリジナルデバイスメーカー）に製品を製造させており、Appleでさえ中国での製造に依存していると主張している。ネットギアは、自社のルーターは中国ではなく、台湾、ベトナム、タイで製造されていると述べている。

競争上の懸念

WSJの報道によると、TP-Linkは米国ルーター市場で64.9%のシェアを誇り、トップに立っているという。しかし、TP-Linkはこれに異議を唱えている。同社は、ここ数年はシェアが20%前後で推移していたものの、Circanaのデータによると、2024年には台数シェアで36.5%、金額シェアで30.7%に急上昇すると主張している。しかし、TP-Linkの低い推定値でさえ、同社の台頭を示している。この優位性は、圧倒的な低価格と、比較的早期に展開されたWi-Fi 7ルーターによってもたらされており、これは米国市場を席巻するための計画的な取り組みだと捉える声もある。

「テクノロジーは法外なものであってはなりません」とバーニーは言う。「私たちはこれらの製品を民主化しようとしているのです。」

しかし、その幅広い製品ラインナップは疑問を投げかけており、TP-Linkが競合他社に比べて低価格でルーターを販売することでどのように利益を上げているのか疑問視する声が多く上がっています。元CNETレビュアーのDong Ngo氏が、ルーターの徹底レビューサイト「Dong Knows」でこの点を検証しています。

中国企業と政府のつながりに対する懸念は、今に始まったことではない。ファーウェイのネットワーク機器に対する禁止措置と米国の制裁は、長年にわたるサイバーセキュリティへの懸念と、米国企業による知的財産訴訟を受けて発動された。TikTokの禁止措置はドナルド・トランプ政権によって強制執行されていないが、親会社のバイトダンスは依然として米国事業の売却圧力にさらされている。こうした状況は、一般の人々にとって理解しにくいものとなり得る。なぜなら、ずさんなセキュリティ、中国の諜報活動、米国の保護主義、そして激化する貿易戦争の境界線は極めて曖昧であり、互いに排他的ではないからだ。

米国の競合企業であるNetgearが、米国政府に対し「サイバーセキュリティと中国との戦略的競争」についてロビー活動を展開していることは周知の事実です。Netgearは、消費者の支持を得られなかったプレミアム価格戦略を採用して以来、ここ数年苦境に立たされています。また、TP-Linkを相手取った特許侵害訴訟にも巻き込まれ、TP-Linkは2024年9月に1億3500万ドルの和解金を支払うことになりました。

TP-Link ルーターは安全ですか?

TP-LinkはCISAの「Secure by Design（設計によるセキュリティ確保）」誓約に署名し、Technical Exchange Groupに参加しています。同社は脆弱性開示プログラムを実施しており、独立系研究者やセキュリティコミュニティは潜在的な問題を[email protected]に報告することができます。TP-Linkによると、2023年の報告への対応時間は平均8.4日、パッチリリースは平均38.5日でした。同社はまた、バグ報奨金プログラムの導入も計画しています。

バーニー氏は、米国の独立系サイバーセキュリティ企業 Finite State が CVE Details、VulDB、CISA (サイバーセキュリティおよびインフラストラクチャセキュリティ庁) から収集した公開データを引用し、TP-Link の製品あたりの脆弱性率は Netgear や Cisco を含む多くの同業他社よりも大幅に低いと主張しているが、誰もが同意しているわけではない。

「TP-Linkは脆弱性の修正やセキュリティ研究者との連携に関してあまり良い評判がないので、確かに警戒すべき点です」と、Malwarebytesのマルウェア情報研究者、ピーター・アーンツ氏はWIREDにメールで語った。

TP-Linkは、最近のMicrosoftの報告書で、主に同社のルーターに被害を与えた「パスワードスプレー」ハッキングについて批判を受けており、報告書では中国の「国家レベルの脅威アクターによる活動」が示唆されている。バーニー氏によると、これらのハッキングは既にサービス終了となった製品であり、ASUSとNetgearのルーターも影響を受けたという。

その他の事例としては、チェック・ポイント・リサーチ社がTP-Linkルーター向けの悪意あるファームウェア・インプラントを公開したことが挙げられます。これは、中国政府が支援する「高度な持続的脅威」集団「カマロ・ドラゴン」に関係するものでした。Cyfirmaの研究者は、TP-Linkルーターの脆弱性が地下フォーラムで販売されていることも発見しました。

「家庭用ルーターのベンダーに関係なく、脆弱性が常に見つかるという点も課題です」とアーンツ氏は言う。

古いルーターの問題の一つは、アップデートのダウンロードとインストールがユーザー自身に委ねられていることです。そして、これが自動で行われることは稀で、「アップデート」をクリックするだけで済むことも稀です。そのため、多くのパッチがインストールされず、巧妙なサイバー犯罪者や国家にとって脆弱なデバイスが生み出されてしまうのです。TP-Linkが人気ルーター「Archer AX21」の脆弱性に対するパッチをリリースしてから数ヶ月が経過しましたが、ハッカーはパッチ未適用のルーターで脆弱性をスキャンし、悪用し続けています。

これらのセキュリティ上の懸念は、バックドアが組み込まれている現状では意味をなさない。バックドアとは、回路基板に追加されたコードやハードウェアの一部であり、遠隔地の第三者がデバイスにアクセスし、場合によっては制御することを可能にする。TP-Linkデバイスにバックドアが備わっているという証拠はないが、Ngo氏が指摘するように、ルーターでオンラインアカウントを使用するということは、既に正面玄関からメーカーにアクセス権を与えていることになる。自動ソフトウェアアップデート、リモートコントロールアクセス、あるいはユーザー向けのその他の機能の必要性によってリモート接続が正当化されるかどうかはさておき、事実上、メーカーがルーターにアクセスできるようになるのだ。

心配すべきでしょうか?

結局のところ、懸念されるのは、中国政府やその他の悪意ある人物がユーザーのウェブ閲覧習慣をスパイすることではなく（もちろん、それはあり得ますが）、彼らがユーザーのルーターをボットネットの一部として利用し、米国政府機関や大手サービスプロバイダーにサイバー攻撃を仕掛けるのではないかということです。

NSAは以前から中国のハッカーを懸念しており、中国のスパイ集団「ソルト・タイフーン」は米国のインターネットサービスプロバイダーや通信会社への侵入を続けている。先日、 NatSec Techのポッドキャストに出演した元大統領特別補佐官で、米国国家安全保障会議のサイバーセキュリティコーディネーターを務めるロブ・ジョイス氏は、TP-Linkのルーターをトロイの木馬に例え、中国が米国のインフラに壊滅的な被害をもたらす可能性のある攻撃に備えて準備を進めていると示唆した。

一部のサイバーセキュリティ専門家はTP-Linkルーターの禁止が差し迫っていると示唆しているが、バーニー氏はTP-Linkルーターが禁止されることはないと確信している。調査は現在も継続中だ。たとえ政府が何も発見しなかったり、禁止措置を取らなかったとしても、TP-Linkを公に無罪放免にすることはないだろう。むしろ、調査はニュースから消えていく可能性が高い。

TP-Linkルーターをお持ちの方、あるいは購入を検討されている方にとって、すべては信頼にかかっています。私たちは、TP-LinkルーターとDecoメッシュシステムをテストし、優れたコストパフォーマンスと優れた性能を備えた購入ガイドで推奨してきました。しかし、ガイドは継続的に更新されており、状況を注視した上で推奨内容を見直す必要があるかどうかを判断します。

主要なルーターメーカーはすべて脆弱性の問題を抱えており、そのほとんどはオンラインアカウントの使用を義務付けているため、簡単な解決策はありません。ルーターのセキュリティ対策を徹底的に行うか、Firewallaのようなセキュリティに特化したブランドを探すという選択肢もありますが、時間と費用の両方で機器の購入費用がかさむことを覚悟しておく必要があります。

既存のルーターを使い続ける場合でも、オンラインでのセキュリティを強化するための対策はあります。VPNサービスの利用と、ルーターの設定について少し学ぶことをお勧めします。MalwarebytesのArntz氏によると、最も安全なルーターとは、設定の変更（認証情報、ファイアウォールのオプション、そして特にアップデートのインストール）に抵抗がないルーターのことです。

心配している家庭用TP-Linkルーター所有者へのアドバイスは次のとおりです。

• まず、ログイン認証情報を更新してください。ルーターのメーカー（またはインターネットプロバイダー）が設定したデフォルトのログイン認証情報から変更されていることを確認してください。このパスワードは、Wi-Fiのユーザー名やパスワードとは異なるものにしてください。パスワードは長さが強度に直結することを忘れないでください。
• 次に、デバイスにパッチを適用し、ファームウェアの更新を定期的に確認するようにリマインダーを設定します。
• 3. ファイアウォールとWi-Fi暗号化をオンにします。これらの設定は、ルーターのアプリまたはウェブサイトからログインすることで確認できます。
• 最後に、問題履歴の少ない別のベンダーから新しいルーターを購入することを検討してください。

TP-Linkは、セキュリティカメラから漏水検知器まで、Tapoブランドで販売されている幅広いスマートホームデバイスも製造しています。現在行われている調査はルーターのみを対象としているようで、これらのデバイスは調査対象ではありません。TP-Linkは、UL Solutionsが運営するFCCのサイバートラストマークプログラムに申請済みであると発表しています。このプログラムは、IoTデバイスの安全性をテストし、ラベル付けすることを保証するものです。残念ながら、ルーター向けのそのようなプログラムはありません。