こんにちは、TIMEWELLの濱本です。今日はテック関連のサービスご紹介です。
今あなたがリビングに置いているスマートテレビ。電源を入れた瞬間から、画面に何が映っているかを逐一記録し、そのデータを外部に送信している可能性がある。しかもその送信先が、中国政府の手の届く場所かもしれない。
2025年12月、米国テキサス州がサムスン、ソニー、LG、ハイセンス、TCLのスマートテレビメーカー5社を一斉に提訴した。「テキサス州民を違法にスパイしている」という理由で。さらに2026年2月には、Wi-Fiルーター最大手のTP-Link、ドローン、ベビーモニター、ECアプリのメーカーまで提訴対象が拡大し、わずか数カ月で中国と繋がりのある企業10社が法廷に引きずり出された。
陰謀論ではない。テキサス州司法長官が公式に訴状を提出し、裁判所がデータ収集の差し止め命令を出し、連邦政府が製品の販売禁止を検討するところまで事態は進んでいる。私自身、最初にこのニュースを見たときは「さすがに大げさでは」と思った。だが調べれば調べるほど、事実の積み重ねが重い。
米国側で公表されている情報を軸に、いま何が起きているのかを整理してみたい。
テキサス州が1週間で5社を提訴した異常事態
2026年2月17日月曜日、テキサス州司法長官ケン・パクストンがWi-Fiルーター最大手TP-Linkを提訴した [1]。翌日にはドローンメーカーAnzu Robotics、水曜にはベビーモニターのLorex、木曜にはEC大手Temu、金曜にはShein。わずか5営業日で5社。しかもジャンルがバラバラで、共通点はただ一つ、「中国共産党との繋がり」だけだ [2]。
パクストンは記者会見でこう述べている。
「今週、我がオフィスはCCPと連携する企業に対し、協調した一連の行動を開始する。テキサスとアメリカを常に第一に置くという明確なメッセージを送るためだ」 [1]
これは消費者保護訴訟の体裁を取りながら、実質的には安全保障上の宣戦布告に近い。個別の製品不良を問題にしているのではなく、「中国と繋がる企業がアメリカの家庭に入り込むこと自体が脅威だ」という主張だからだ。
ここで注目すべきは、パクストンが2025年10月からTP-Linkに対する調査を進めていたという事実だ [1]。さらにテキサス州知事のグレッグ・アボットは、州職員が使用するデバイスからTP-Link製品を排除するよう、禁止技術リストを更新している。つまり、今回の提訴は突発的なパフォーマンスではなく、数カ月にわたる準備の末に仕掛けられた計画的な攻勢だった。
TP-Linkルーターは「現代の戦争兵器」と呼ばれた
5社の中でも最も衝撃的だったのが、TP-Link訴訟の中身だ。訴状はTP-LinkのWi-Fiルーターを「現代の戦争兵器」と表現している [2]。
ルーターは家庭内ネットワークの関門にあたる。ネットバンキングの認証情報、仕事のメール、医療記録、子どもの学校の連絡。家の中のあらゆるデータがルーターを通過する。この関門を外国の敵対勢力がコントロールできるとしたら、それは製品の脆弱性という次元の話ではない。
テキサス州が問題にしたのは大きく二つある。
一つ目は、出自の偽装だ。TP-Linkは製品に「Made in Vietnam」と表示していたが、部品のほぼ全てを中国から調達し、事業運営の中核も中国国内にある [2]。ベトナムで最終組み立てをしているだけで、実質的には中国製品そのものだ、というのがテキサス州の主張になる。
なぜ「中国製」であることがそこまで問題になるのか。鍵を握るのが、2017年に施行された中国の国家情報法だ。第七条にはこう書かれている。
いかなる組織及び公民も、法に基づき国家の情報活動に協力し、国家の情報活動の秘密を守らなければならない [3]
つまり中国企業は、政府から「データを出せ」と言われたら拒否できない。法律でそう決まっている。TP-Linkのサプライチェーンと事業構造が中国に根ざしている以上、この法律の射程圏内にあると見なされても仕方がない。
二つ目は、実際にTP-Link製品が国家ぐるみのサイバー攻撃に使われていた事実だ。2024年10月、マイクロソフトは中国の国家支援型ハッカー集団「Storm-0940」が、侵害されたTP-Linkルーターで構成されたボットネット「Quad7」を運用していたと公表した [4]。このボットネットは、Microsoft 365アカウントなどに対するパスワードスプレー攻撃、つまり大量のアカウントに対してよく使われるパスワードを片っ端から試す攻撃の踏み台になっていた。
具体的な手口はこうだ。ハッカーはまずTP-Linkルーターの脆弱性を突いて遠隔操作を可能にする。次に、そのルーターを「中継地点」として利用し、標的のMicrosoft 365アカウントに対してパスワードを試行する。攻撃元が一般家庭のルーターなので、企業側のセキュリティシステムからは正常なトラフィックと区別しにくい。しかも一つのアカウントに対して1日数回しか試行しないため、ブルートフォース検知にも引っかかりにくいという巧妙さだ [4]。
米国のサイバーセキュリティ・社会基盤安全保障庁、いわゆるCISAも、TP-Link製品の脆弱性を少なくとも6件、「既知の悪用された脆弱性カタログ」に登録している [5]。「脆弱性が見つかった」ではなく「実際に攻撃に悪用された」という意味だ。ここが重い。
TP-Link側は「当社はシンガポールに本社を置く独立した企業であり、中国政府の管轄下にはない」と反論している [18]。だがテキサス州は、法人登記上の本社所在地ではなく、実質的なサプライチェーンと事業運営の実態を見るべきだという立場を崩していない。
スマートテレビが「盗撮カメラ」になる日
TP-Link訴訟の2カ月前、2025年12月にはスマートテレビを巡る訴訟も起きている。パクストン長官はソニー、サムスン、LG、ハイセンス、TCLの5社を提訴した [6]。
問題になったのは「ACR」と呼ばれる技術だ。Automatic Content Recognition、自動コンテンツ認識。テレビ画面に映っている内容をリアルタイムで認識し、視聴データとして収集する仕組みで、ライブ放送やストリーミングだけでなく、HDMI経由で接続したゲーム機やBlu-rayプレーヤーの画面まで把握できるとされている。
メーカー側は「広告のパーソナライズや番組推薦に使っている」と説明するが、テキサス州の見方は違う。消費者にまともな説明もなく、リビングで何を見ているかを逐一記録して売り飛ばしている、というわけだ。テキサス州の訴状によれば、ACRは出荷時にデフォルトでオンになっており、ユーザーが意識的にオフにしない限り、テレビの電源が入っている間ずっとデータを収集し続ける [6]。
特に問題視されたのが中国企業のハイセンスとTCLだ。国家情報法の存在を考えれば、これらの企業が集めた視聴データが中国政府に渡るリスクは否定できない。テキサス州はハイセンスに対して、州内でのACRによるデータ収集を一時的に差し止める裁判所命令を勝ち取った [7]。サムスンに対しても同様の命令が出ている [8]。
余談だが、私はこのニュースを読んだ後、自宅のテレビの設定画面を開いてみた。案の定、ACR関連の設定が初期状態でオンになっていた。おそらく多くの人が同じ状況だろう。テレビを買ったときに長い利用規約を読み飛ばした記憶がある方は、一度設定を確認してみてほしい。
ドローンやベビーモニターについても触れておく。Anzu Robotics社のドローンは、訴状の中で「DJI社のMavic 3を緑色に塗り替えただけの21世紀のトロイの木馬」と表現された [2]。DJIは米国防総省が「中国軍事企業」に指定したドローンメーカーで、米国内での販売規制が議論されている。Anzu Roboticsはそのリブランド品を「アメリカ企業の製品」として売っていた、というのがテキサス州の主張だ。Lorex社のベビーモニターには、同じく中国軍事企業に指定された組織の部品が使われていることが判明している [2]。子どもの寝顔を映すカメラの中に、軍事企業の部品が入っている。冗談のような話だが、訴状に記載された事実だ。
| 提訴された企業 | 製品 | テキサス州の主張 |
|---|---|---|
| TP-Link | Wi-Fiルーター | 中国との繋がりを隠蔽。ボットネットの踏み台として悪用された実績あり |
| Hisense、TCL | スマートTV | ACR技術で視聴データを無断収集。国家情報法によるデータ提供リスク |
| Anzu Robotics | ドローン | DJI製品のリブランド品。地理空間情報や映像の収集リスク |
| Lorex | ベビーモニター | 中国軍事企業指定の組織の部品を使用 |
| Temu、Shein | ECアプリ | スパイウェア的なデータ収集。個人情報や金融情報の大量取得 |
「Typhoon」の名を持つハッカー集団が米国を蝕んでいる
テキサス州がここまで強硬に動く背景には、すでに進行中の深刻なサイバー攻撃がある。「Salt Typhoon」と「Volt Typhoon」。どちらも中国国家安全部が背後にいるとされるハッカー集団で、米国の根幹を揺さぶっている。
Salt Typhoonの存在が明るみに出たのは2024年9月のことだ。AT&T、Verizon、T-Mobileを含む米国の主要通信事業者9社のネットワークに、少なくとも1年から2年前から侵入していたことが判明した [9]。
手口が巧妙だった。通信ネットワークの中枢に入り込み、法執行機関が裁判所の令状に基づいて合法的に盗聴を行うためのシステム、CALEAにまでアクセスしていた [10]。CALEAとは、通信事業者が法執行機関の要請に応じて通信傍受を可能にするために設置を義務付けられているシステムだ。要するに、政府が犯罪捜査のために用意した「裏口」を、中国のハッカーがそのまま使って盗聴していたことになる。
ワシントンD.C.首都圏を中心に100万人以上のユーザーの通話メタデータが窃取された。通信日時、発信元と宛先の電話番号、IPアドレスといった情報だ。当時の大統領候補だったドナルド・トランプ氏や副大統領候補のJD・バンス氏の電話も盗聴対象に含まれていた可能性が報じられている [11]。大統領選の最中に候補者の通話が外国の諜報機関に筒抜けだったかもしれない。この事実の重さは計り知れない。
FBIは2025年8月の時点で、Salt Typhoonが世界80カ国以上、200以上の組織に侵入したと発表した [12]。被害は米国だけに留まらない。
Salt Typhoonが「盗み聞き」なら、Volt Typhoonの目的はもっと不穏だ。破壊の準備である。
Volt Typhoonは米国の電力網、水道システム、通信ネットワークといった重要インフラに侵入し、長期間にわたって潜伏している [13]。目的は、台湾有事など米中間の緊張が軍事衝突に発展した際に、米軍の動員や後方支援を妨害するためにインフラを麻痺させることだと分析されている。グアムをはじめとする米軍基地周辺のインフラが重点的に狙われている。
彼らの手口は「Living off the Land」、環境寄生型と呼ばれる。特殊なマルウェアを使うのではなく、システムにもともと入っている正規の管理ツールを悪用するため、検知が極めて難しい。PowerShellやWMIといった、どのWindowsマシンにも入っている標準ツールを使って横展開するので、ログを見ても通常の管理作業と区別がつかない。2024年9月にはFBIが関連するボットネットの一つを無力化したと発表したが [14]、それは氷山の一角に過ぎなかった。
2026年2月、サイバーセキュリティ企業Dragos社が年次報告書で衝撃的な警告を出した。Volt Typhoonは2025年を通じて活動を継続しており、今もなお米国のインフラに潜伏しているという。同社CEOのロブ・リー氏はこう述べている。
「彼らは非常に活発だ。我々のインフラに組み込まれ、その状況を把握し続けている」 「米国やNATO諸国に存在する侵害された拠点のいくつかは、我々が決して見つけることができないだろう」 [15]
「決して見つけることができない」。セキュリティの専門家がこう言い切る事態の深刻さを、どう受け止めればいいのだろうか。
| ハッカー集団 | 目的 | 主な標的 | 手口と影響 |
|---|---|---|---|
| Salt Typhoon | 情報窃取と諜報活動 | 通信事業者、政府高官 | 合法盗聴システムを悪用し、通話記録や内容を窃取 |
| Volt Typhoon | 有事に備えた破壊準備 | 電力、水道、通信インフラ | 正規ツールを悪用して長期潜伏。有事にインフラを麻痺させる |
テキサス州が家庭用ルーターやテレビにまで神経を尖らせる理由は、ここに繋がる。一台一台は小さなデバイスでも、それがボットネットとして束ねられれば、Volt Typhoonのような国家主導の攻撃の足掛かりになる。家庭への侵入が、国家インフラへの侵入の第一歩になり得る。
連邦政府は動けなかった。テキサスは待たなかった
これだけの脅威が明らかになりながら、米国全体の対応は一枚岩ではない。
2025年後半、マイクロソフトによるQuad7ボットネットの告発を受けて、商務省、国防総省、司法省がそれぞれTP-Linkの調査を開始した。連邦政府による販売禁止は時間の問題だと見られていた [16]。TP-Linkの米国市場シェアはウォール・ストリート・ジャーナルの報道で約65% [17]、TP-Link自身の主張でも36.6% [18]。いずれにせよ、Amazonで「Wi-Fiルーター」と検索すれば上位を独占する圧倒的な存在感を持つ製品だ。これを禁止するのは劇薬だが、それだけ脅威が深刻だと認識されていた。
ところが2026年2月12日、事態が動く。トランプ政権が、習近平国家主席との首脳会談を前にTP-Linkの禁止措置案を棚上げしたと報じられた [16]。安全保障上の懸念は認識しつつも、中国との全面対立を避けて貿易交渉を有利に進めたいという外交的配慮が働いたと考えられている。
正直なところ、この判断には複雑な思いがある。国民の安全と外交のバランスは確かに難しい。だが、現にSalt TyphoonやVolt Typhoonが活動を続けている中で「棚上げ」という選択が適切だったのかどうか。少なくとも、連邦政府が「問題なし」と判断したわけではないことは押さえておきたい。あくまで外交カードとしてタイミングを計っているに過ぎない。
テキサス州は待たなかった。連邦政府が棚上げを決めたわずか5日後の2月17日、パクストン長官はTP-Linkに対する訴訟に踏み切った [1]。連邦政府の判断を待たず、州法であるテキサス州詐欺的取引慣行法、DTPAを武器にして独自の戦いを始めたのだ。
DTPAは消費者を不公正な商慣行から守るための法律で、違反1件あたり最大25万ドルの制裁金を科すことができる [19]。過去にはMeta社やGoogle社から巨額の和解金を勝ち取った実績がある。テキサス州は、安全保障上の脅威を「消費者を欺く行為」というフレームワークに落とし込むことで、連邦政府とは別ルートで中国関連企業を追及する道を切り開いた。
この構図は興味深い。国家安全保障は本来、連邦政府の専権事項だ。しかし連邦が動けないとき、州が消費者保護法という別の切り口で同じ目的を達成しようとしている。米国の連邦主義のダイナミズムが、安全保障の文脈でここまで鮮明に表れた例は珍しい。そしてこの動きが他の州に波及する可能性も十分にある。テキサスに続く州が出てくれば、連邦政府も動かざるを得なくなるだろう。
対岸の火事ではない。日本企業が今すぐ考えるべきこと
ここまで読んで「アメリカの話でしょう」と思った方もいるかもしれない。だが、TP-Linkのルーターは日本でも普通に売られている。ハイセンスのテレビはコストパフォーマンスの良さで人気がある。TemuやSheinのアプリは日本でもダウンロード数を伸ばしている。私たちの生活圏に、テキサス州が問題視した製品はすでに入り込んでいる。
個人レベルでできることはある。ルーターのメーカーを見直す。スマートテレビのACR設定をオフにする。安価なスマートデバイスを買う前に、メーカーの背景を確認する。地味だが、こうした習慣がプライバシーを守る第一歩になる。
ただ、より切実なのは企業レベルの対策だ。海外と取引がある企業、機微な技術を扱う研究機関にとって、サプライチェーンに潜むリスクの管理は事業継続に直結する問題になっている。
取引先が実は制裁リストに載っている組織の子会社だった。共同研究の相手が軍事転用リスクのある団体と繋がっていた。こうしたリスクを手作業でチェックするには、関係性が複雑すぎるし、情報の更新も早すぎる。テキサス州の訴訟で明らかになったように、「Made in Vietnam」と表示されていても実態は中国製、というケースが現実に存在する。表面的な情報だけでは判断できない時代に入っている。
私たちTIMEWELLが提供しているZEROCK ExCHECKは、まさにこの課題に対応するAIエージェントだ。安全保障輸出管理におけるバックグラウンドチェックをAIで自動化し、経済産業省の規制リストや世界中の制裁リストと取引先情報を瞬時に照合する。懸念度の判定はわずか5秒。しかもAIが「なぜその判定に至ったのか」を根拠となる情報源と共に提示するため、担当者は迅速に最終判断を下せる。
2026年11月から本格施行される米国EARのアフィリエイト・ルールへの対応も視野に入れている。制裁対象企業が50%以上所有する子会社も規制対象になるという新ルールで、取引先の資本関係を深く追跡する必要が出てくる。ZEROCK ExCHECKはこうした複雑な関係性の分析も自動化し、日本企業が意図せず規制に違反するリスクを未然に防ぐ。
テキサス州が突きつけた現実は明快だ。安全保障の戦場は国境線の向こう側だけではない。企業のサプライチェーンの中に、家庭のルーターの中に、すでに存在している。旧来の手作業によるチェックでは、この速度と複雑さに追いつけない。
また、こうした安全保障上の脅威から社内の情報資産を守るには、そもそも社内データの管理と検索の仕組みを見直す必要がある。ZEROCKのGraphRAG技術を活用したナレッジ管理は、社内に散在する情報を構造化し、「どの情報が、誰と、どう繋がっているか」を可視化する。サプライチェーンの複雑な関係性を把握する上でも、AIが文脈を理解した上で情報を統合的に扱えることの意味は大きい。
参考文献
[1] Texas Attorney General. (2026, February 17). Attorney General Paxton Sues TP Link for Allowing the CCP to Access Americans' Devices. https://www.texasattorneygeneral.gov/news/releases/attorney-general-paxton-sues-tp-link-allowing-ccp-access-americans-devices-first-several-lawsuits
[2] Texas Policy Research. (2026, February 20). Texas Files Four Major Lawsuits Against CCP-Linked Companies. https://www.texaspolicyresearch.com/texas-files-four-major-lawsuits-against-ccp-linked-companies/
[3] China Law Translate. (2017). PRC National Intelligence Law. https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/
[4] Microsoft Security. (2024, October 31). Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network. https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network/
[5] CISA. Known Exploited Vulnerabilities Catalog. https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[6] Texas Attorney General. (2025, December 15). Attorney General Paxton Sues Five Major TV Companies, Including Some with Ties to the CCP, for Spying on Texans. https://www.texasattorneygeneral.gov/news/releases/attorney-general-paxton-sues-five-major-tv-companies-including-some-ties-ccp-spying-texans
[7] Texas Attorney General. (2025, December 17). Attorney General Ken Paxton Secures Court Order Stopping CCP-Aligned Smart TV Company from Spying on Texans. https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-secures-court-order-stopping-ccp-aligned-smart-tv-company-spying-texans
[8] Texas Attorney General. (2026, January 6). Attorney General Ken Paxton Secures Major Win, Stopping Samsung from Using Its Smart TVs to Illegally Spy. https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-secures-major-win-stopping-samsung-using-its-smart-tvs-illegally-spy
[9] Wikipedia. Salt Typhoon. https://en.wikipedia.org/wiki/Salt_Typhoon
[10] The Wall Street Journal. (2024, October 5). U.S. Wiretap Systems Targeted in China-Linked Hack. https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc63b
[11] Wikipedia. Salt Typhoon. https://en.wikipedia.org/wiki/Salt_Typhoon
[12] Nextgov. (2025, August 27). Salt Typhoon hackers targeted over 80 countries, FBI says. https://www.nextgov.com/cybersecurity/2025/08/salt-typhoon-hackers-targeted-over-80-countries-fbi-says/407719/
[13] CISA. (2023, May 24). PRC State-Sponsored Actor, Volt Typhoon, Compromises U.S. Critical Infrastructure. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
[14] FBI. (2024, September 18). FBI Director Announces Chinese Botnet Disruption at Aspen Cyber Summit. https://www.fbi.gov/news/stories/fbi-director-announces-chinese-botnet-disruption-exposes-flax-typhoon-hacker-group-s-true-identity-at-aspen-cyber-summit
[15] The Record. (2026, February 19). Researchers warn Volt Typhoon still embedded in US utilities. https://therecord.media/researchers-warn-volt-typhoon-still-active-critical-infrastructure
[16] 9to5Mac. (2026, February 18). Federal ban on TP-Link routers shelved, but Texas fights on. https://9to5mac.com/2026/02/18/federal-ban-on-tp-link-routers-shelved-but-texas-fights-on/
[17] The Wall Street Journal. (2024, December 18). U.S. Weighs Ban on Chinese-Made TP-Link Router in Homes. https://www.wsj.com/politics/national-security/us-ban-china-router-tp-link-systems-7d7507e6
[18] TP-Link. (2025, March 5). TP-Link Systems Inc. Sets the Record Straight Regarding Inaccurate U.S. Market Share Data. https://www.tp-link.com/us/press/news/21656/
[19] IAPP. (2026, January 26). Automated content recognition technology takes privacy enforcement spotlight. https://iapp.org/news/a/automated-content-recognition-technology-takes-privacy-enforcement-spotlight