株式会社TIMEWELLの濱本隆太です。
2026年3月23日、米連邦通信委員会(FCC)が発表したプレスリリースは、世界中のテック関係者に衝撃を走らせました。海外で製造された新型民生用ルーターの米国への輸入を全面禁止する、というものです。声明でFCC委員長ブレンダン・カーは「外国で生産されたルーターは、米国の国家安全保障または米国民の安全と治安に容認できないリスクをもたらす」と明言しました[^1][^2]。
この措置の矛先が最も向いているのが、中国深センに起源を持つTP-Linkです。米国の家庭・小規模オフィス向けルーター市場でシェア65%超(テキサス州司法長官の訴状より)という圧倒的な普及率を誇る一方で、2024年から2025年にかけて相次いだ国家支援型ハッカーによるサイバー攻撃との関連が次々と指摘されてきました[^4][^5]。
私はAIや組織変革の分野で仕事をしていますが、この問題を聞いたとき、最初に思ったのは「これは対岸の火事ではない」ということでした。日本のTP-Link市場シェアは2024年、Wi-Fiルーター販売台数ベースで59.9%に達しています。BCNランキングの調査によれば、価格競争力と製品ラインアップの豊富さを武器に、国内の家庭用ルーター市場でTP-Linkは文字通り「過半数を支配」している状況です[^9][^10]。
米国で禁止された機器が、日本の家庭や企業のネットワークに当然のように繋がっている。この事実が意味するリスクを、私たちはまだ真剣に受け止め切れていないと感じています。
なぜTP-Linkが問題になったのか——「異常なレベルの脆弱性」の正体
事の始まりは、2024年8月に遡ります。米国議会の超党派議員グループが商務省に対し、TP-Link製品の調査を要請する書簡を送りました。書簡の中で議員らが使った言葉が強烈です。「異常なレベルの脆弱性(anomalous level of vulnerabilities)」。この表現は、単純な製品バグの話ではありません。
TP-Link製ルーターの技術的な脆弱性は、一般的な製品の瑕疵の話を大きく超えています。2025年には「CVE-2025」のリファレンス番号が付けられた認証バイパスの重大脆弱性が発見され、攻撃者がルーターの認証を迂回して新しいファームウェアを書き込めるという、ほぼバックドアに等しい問題が修正されました[^8]。しかし問題の本質は、こうした脆弱性を「誰が」「どのように」悪用しているか、という点にあります。
ここで登場するのが「Volt Typhoon(ボルト・タイフーン)」という名の脅威アクターです。CISA(米サイバーセキュリティ・インフラセキュリティ庁)やFBIが中国人民解放軍に関連する国家支援型ハッカー集団と認定しているこのグループは、米国の重要インフラを標的に、5年間にわたって密かに潜伏を続けていたことが明らかになっています。JPCERT/CCの報告書によれば、Volt Typhoonの特徴は「Living off the land(環境寄生型)」と呼ばれる手法にあります[^6]。ターゲットのシステムに専用のマルウェアを送り込むのではなく、すでにそのネットワーク内に存在する正規のツールやデバイスを乗っ取り、通信ログの中に悪意ある活動を隠蔽する。目立たない、だから長期にわたって発覚しない。
TP-Linkのルーターはこの「隠れ蓑」として機能しました。Volt Typhoonは、脆弱性を持つ一般家庭のSOHOルーター(Small Office/Home Officeルーター)を大規模に感染させ、「KVボットネット」と呼ばれる巨大なボットネットを構築。このボットネット経由で米国の電力会社、水道事業者、通信会社、軍港など、重要インフラへの攻撃を試みていました。一般市民のルーターが、国家レベルのサイバー攻撃の中継基地にされていたわけです。
司法省は2023年12月に、このVolt Typhoonが作成したボットネットを無効化する作戦を実施しています。その後も新たな攻撃キャンペーンが確認されており、問題は根絶されていません。2026年4月23日には、英国主導の国際アドバイザリーに日本の国家サイバー統括室も共同署名を行い、「侵害されたデバイスで構成される中国関連の匿名ネットワーク」への警戒を呼びかけました[^7]。署名した10か国の顔ぶれを見れば、この脅威がいかに深刻なものとして受け止められているか分かります。英国、米国、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランド、スペイン、スウェーデン、そして日本です。
TP-Linkの「中国系」という問題——本社移転で安全になるのか?
この問題を語るとき、必ず出てくるのがTP-Link側の反論です。TP-Linkは中国深センで1996年に創業した会社ですが、2023年頃に米国カリフォルニア州アーバインへ本社を移転しています。日本向けのTP-Link公式サイトにある声明でも「TP-Link Systemsは米国に本拠を置き、米国法の遵守を完全にコミットしている」と明言しています[^11]。
ところが米国政府はこの本社移転を「構造的な問題の解決」とは見ていません。その理由は、テキサス州のケン・パクストン司法長官が2026年2月に提起した訴訟の内容に明確に表れています。訴状の中でパクストン氏は、TP-Link Systemsが製品を「ベトナム製」と表記しながら、実際には製造・管理の実態が中国国内で行われており、中国共産党の支配下にあると主張しています[^4][^5]。「製品の製造に関わるサプライチェーンが中国主導で行われているにもかかわらず、消費者を誤解させた」という欺瞞の告発です。
この問題の本質は、「本社がどこにあるか」ではなく、「ファームウェアの開発・更新、製品の製造、サプライチェーンの管理を誰が行っているか」という点にあります。中国の国家インテリジェンス法(2017年制定)は、中国籍の企業や個人に対して政府の諜報活動への協力を義務づける内容を含んでいます。米国政府が懸念しているのは、中国政府が法律を盾にTP-Linkのファームウェア開発チームや製造ラインにアクセスを要求できる立場にある、という構造的リスクです。本社の所在地を変えるだけでは、この懸念は解消されない。だから米国は本社移転後も、TP-LinkをHuaweiやZTEと同列の「疑念ある中国系企業」として扱い続けています。
TP-Linkのシェアについても数字の争いがあります。米国市場での市場シェアを、テキサス州訴訟では65%と主張しているのに対し、TP-Link自身は2024年の自社調査として36.6%と反論しています。どちらが正確かの判断は難しいですが、いずれにせよ米国で「最も多く使われているルーターブランドの一つ」であることは間違いなく、それが今回の禁止措置の規模感を説明しています。
米国の禁止措置——何が禁止されて、何が禁止されていないのか
2026年3月のFCC発表を正確に理解するために、禁止措置の具体的な内容を整理しておく必要があります。ここに多くの誤解が生じているからです。
今回禁止されたのは「海外で製造された新型民生用ルーターの輸入・新規認証」です。重要なのは「新型」「新規認証」という条件です。すでに米国内に合法的に輸入済みの既存在庫は、小売業者が販売し続けることが許可されています。一般消費者がすでに購入して自宅で使用している既存のルーターについては、「継続使用が違法になるわけではない」とFCCは明示しています。
FCCは同時に重要な緩和措置も発表しました。禁止リストに掲載された海外製ドローン・ルーターについては、ファームウェアのセキュリティアップデートを2029年1月まで継続して受け取れるようにする措置を併せて実施しています。これはユーザーを「サポートなし状態」に放置しないための配慮であり、段階的な移行を前提にした措置です。
「米国製に限る」という条件も一見シンプルに見えますが、実態はかなり複雑です。フォーブス・ジャパンの報道が指摘するように、「米国に本社を置く企業が、米国内の自社拠点で基本設計やソフトウェア開発を行っていても、コスト削減のために部品実装や最終組み立てを台湾、ベトナム、中国などの海外拠点に委託している場合は、『海外製造』とみなされ原則禁止の対象となる」のです[^3]。これは事実上、主要ルーターブランドの多くが影響を受けることを意味します。現時点で米国内製造に完全に移行できているルーターメーカーは極めて限られており、米国の消費者は今後しばらく「何を買えばいいのか」という困惑した状況に直面しています。
日本への影響——シェア60%の「普及」が意味するリスク
ここからが日本に住む私たちにとって最も重要な話です。
BCNランキングの2024年1〜12月集計によれば、TP-LinkはWi-Fiルーターの国内市場でメーカー別販売台数シェア59.9%を達成しています[^9]。家電量販店やAmazonで無線LANルーターの売れ筋ランキングを確認すれば、上位10製品のうち半数以上がTP-Link製という状況は、もはや見慣れた光景です。価格帯は手頃、Wi-Fi 6・Wi-Fi 7といった最新規格への対応も早く、日本語サポートも充実している。消費者の合理的な選択の結果として、TP-Linkが日本のネットワーク機器市場に深く浸透した経緯はよく理解できます。
ところが米国での議論が示すように、この「普及」は別の角度から見ると「リスクの広域分布」を意味します。家庭のルーターは、インターネットと各種デバイスを繋ぐ最初の関門(ゲートウェイ)です。スマートフォン、パソコン、スマートテレビ、IoT家電——これらすべての通信が、ルーターを経由します。もしルーターのファームウェアに意図的なバックドアや、悪用可能な脆弱性が存在した場合、そこを通過するすべての通信が監視・傍受のリスクにさらされます。
問題が深刻なのは、企業・政府機関の現場です。調達コスト重視の観点から、中小企業や地方自治体の庁内ネットワーク、あるいは病院や学校といった公共施設でも、廉価なTP-Link製ルーターが採用されているケースは珍しくありません。セキュリティ専門家の間では「TP-Linkルーターが会社や役所の通信インフラに使われているケースは、把握されているより多い」という認識が共有されています[^12]。
Volt Typhoonが米国で行ったことを日本の文脈に置き換えれば、リスクの輪郭がより鮮明になります。一般家庭のルーターを踏み台にして長期間潜伏し、電力・水道・通信といった重要インフラのネットワークに侵入する——このシナリオは、「日本ではあり得ない」とは言えない水準の脅威です。2026年4月の国際アドバイザリーに日本の国家サイバー統括室が署名したこと自体が、日本政府が同様の脅威を現実のものとして認識していることの証左です[^7]。
日本の現行制度では、TP-Linkルーターの購入・使用を禁止する規制は存在しません。政府調達の分野では、2020年以降「安全保障上の懸念がある機器・ソフトウェア」の排除に向けた内閣府・デジタル庁のガイドラインが整備されつつありますが、民間の利用や中小企業の調達をカバーするには至っていません。この「規制の空白」は、日本のサイバーセキュリティ政策において早急に議論が必要な課題です。
TP-Linkは本当に危険なのか——フェアに考える
ここまで書いてきて、一つ重要な論点を正直に取り上げておく必要があります。「TP-Linkは本当に意図的にバックドアを仕込んでいるのか」という問いです。
セキュリティ研究者のブライアン・クレブス氏(Krebs on Security)は、米国政府のTP-Link禁止案に対して自身のブログで疑問を呈しています。クレブス氏の指摘は、「TP-Linkの脆弱性件数はMicrosoftの約半分であり、他のルーターメーカーと比べて特別に危険というデータはない。禁止は安全保障の合理的な政策というより、貿易戦争の文脈に近い側面がある」というものです。
この指摘は真剣に受け止める価値があります。TP-Linkルーターに意図的なスパイウェアが仕込まれているという確定的な証拠は、現時点では公開情報として存在しません。Volt Typhoonが利用したのは、TP-Link固有の「意図的なバックドア」ではなく、他のルーターにも共通して存在するような脆弱性である可能性があります。
それをもって「問題ない」と結論づけるのは早計です。第一に、意図的なバックドアの有無にかかわらず、「脆弱性を持つデバイスが国家支援型ハッカーの攻撃インフラとして実際に使われた」という事実は変わりません。第二に、中国の国家インテリジェンス法の構造的リスクは、「現時点でバックドアがない」という事実によって排除されるものではありません。今はなくても、中国政府が要求すれば将来ファームウェアアップデートとして仕込まれる可能性を否定できない——この「証明できない将来リスク」こそが、安全保障上の懸念の核心です。
第三に、私が最も重要だと感じる点として、TP-Linkを「中国系」として排除しても、別の中国製品で代替するだけでは意味がない、という問題があります。ルーターだけでなく、監視カメラ、スマートスピーカー、IoT機器、クラウドサービス——私たちのデジタルインフラの多くの部分に、同様の構造的リスクを持つ中国系製品が浸透しています。TP-Linkを禁止することで問題が「解決する」わけではなく、より根本的なデジタルサプライチェーンの安全保障戦略が必要です。
日本企業・個人が今日から取れるアクション
では実際のところ、私たちは何をすべきでしょうか。
企業の立場から考えます。最も優先度が高いのは、社内ネットワーク機器の棚卸しです。自社のオフィス、工場、拠点に設置されているルーター・スイッチ・アクセスポイントのメーカーと型番を確認し、TP-Link製品がどれだけ使われているかを把握することが第一歩です。特に、経営情報・顧客情報・知的財産を扱う部門のネットワーク機器については、交換の優先順位を検討する価値があります。
ファームウェアの更新も見逃せない対策です。現在TP-Linkを使用している場合でも、定期的なファームウェアアップデートの適用により、既知の脆弱性をできる限り修正しておくことが重要です。前述のCVE-2025の認証バイパス脆弱性のように、パッチが提供されているにもかかわらず未適用のまま放置されているケースが多く、これが攻撃者の侵入口となっています。
代替製品の選定についても触れておきます。日本市場では、バッファローやアイ・オー・データといった国内メーカーのルーターが選択肢として存在します。企業向けの高セキュリティルーターとしてはシスコ(Cisco)やジュニパーネットワークス(Juniper Networks)、フォーティネット(Fortinet)といった米国系ベンダーの製品が定評を持っています。ただし、コストとのバランスや運用管理の複雑さも考慮が必要です。
個人のユーザーとしては、少なくとも以下の3点は意識してほしいと思います。ルーターの管理画面への定期的なログインでファームウェアアップデートを確認すること、デフォルトのパスワードを変更すること、リモート管理機能(外部からルーターを操作できる機能)が有効になっていれば無効化すること。これらは機器のメーカーに関わらず、すべての家庭用ルーターに適用される基本的なセキュリティ対策ですが、TP-Linkに限らず実施率が低いのが現状です。
「信頼」というインフラについて
この問題を追いながら私が考え続けているのは、デジタルインフラにおける「信頼」という概念です。
ルーターは一度設置すると、何年も意識することなく使い続ける機器です。電源を入れておけば動く、「空気のような存在」です。しかしその「空気」が、実は誰かの目になっているかもしれない——この可能性が、単なるセキュリティ問題を超えた「デジタル時代の主権」の問いを私たちに突きつけています。
米国がTP-Linkを禁止したのは、その脆弱性の証明以上に、「信頼できないかもしれない」という構造的リスクに対する予防原則的な判断です。技術的な安全性の証明を待つのではなく、地政学的リスクを先取りして制度設計する——これは冷静に考えれば合理的なアプローチです。一方で、その論理を徹底すれば、製造国・開発国のリスクを常に意識しながら機器を選ばなければならない世界が待っています。
日本はこれまで、ITインフラの整備において「安さ」と「使い勝手の良さ」を最優先の軸にしてきたと思います。TP-LinkのシェアがAmazonや家電量販店の棚で60%を占めるに至ったことは、その選択の結果です。今、その判断軸に「信頼できるサプライチェーンか」という問いを加える時期が来ているのではないでしょうか。
米国の措置が正しいかどうか、TP-Linkが実際に危険かどうか——その問いへの最終的な答えは、まだ誰も持っていません。しかし「分からないから現状維持」という選択の意味を、あらためて問い直す価値はあると私は思っています。ルーターの型番を調べることは、5分あればできます。自分が今日使っているネットワーク機器がどこで作られ、誰が管理しているのかを一度確認してみることが、この問いへの入り口になるかもしれません。
サプライチェーンの安全保障を、自社の戦略に組み込む
ここまで読んできて、「うちの会社は何から手を付ければいいのか」と感じた方も多いのではないでしょうか。サイバーセキュリティのリスクは、もはや情シス部門だけの問題ではなく、経営判断と一体化した「経済安全保障」の論点になっています。
TIMEWELLのWARPコンサルティングでは、AI導入戦略の設計と並行して、AI・IT資産のサプライチェーンリスクを整理する支援を行っています。「どこのベンダーのどの機器・ソフトウェアを使っているか」「ファームウェアやモデルのアップデートを誰が握っているか」「経営情報がどの経路を通って外に出る可能性があるのか」——こうした問いを、現場の運用と経営の言葉の両方で棚卸ししていく作業です。
社内で生成AIや業務システムを内製・運用している企業では、社内ナレッジが外部のSaaSにどこまで流れているか、という別の地政学リスクも顕在化しています。ZEROCKのような国内サーバーで動くエンタープライズAIへの関心が高まっているのも、この文脈の延長線上にあります。
「自社のネットワーク機器とソフトウェアを棚卸ししたいが、どこから始めればいいか分からない」「経営層に経済安全保障の論点をどう説明すれば伝わるか」。そんなお悩みがあれば、ぜひお気軽にご相談ください。
参考文献
[^1]: ASCII.jp. 「米国、海外製ルーター禁止 中国系TP-Linkに『異常なレベルの脆弱性』」 https://ascii.jp/limit/group/ida/elem/000/004/400/4400790/ (2026)
[^2]: ロイター. 「米当局、海外製新型ルーターの輸入禁止 セキュリティー懸念で」 https://jp.reuters.com/business/technology/ZJRRPTR2VVKHPLDKBEKX4AVNV4-2026-03-24/ (2026-03-24)
[^3]: Forbes JAPAN. 「米国が外国製ルーターの販売を全面禁止──消費者が買える製品はあるのか」 https://forbesjapan.com/articles/detail/94909 (2026)
[^4]: GIGAZINE. 「『中国共産党によるサイバー攻撃を助けてきた』としてネットワーク機器メーカーのTP-Linkをテキサス州が提訴」 https://gigazine.net/news/20260219-tp-link-hacking/ (2026-02-19)
[^5]: Codebook. 「テキサス州、中国との繋がりや脆弱性問題めぐりTP-Linkに対する訴訟を提起」 https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/43958/ (2026-02-18)
[^6]: JPCERT/CC. 「Volt Typhoonの攻撃キャンペーンにどう備えていくべきのか」 https://blogs.jpcert.or.jp/ja/2024/06/volt-typhoon-threat-hunting.html (2024-06)
[^7]: 内閣サイバーセキュリティセンター(NISC). 「侵害されたデバイスで構成される中国関連の匿名ネットワークに対する防御に関するアドバイザリーへの共同署名について」 https://www.cyber.go.jp/pdf/press/Defending_against_China_linked_covert_networks_of_compromised_devices.pdf (2026-04-23)
[^8]: Codebook. 「TP-Link、認証バイパスの重大な脆弱性にパッチ(CVE-2025)」 https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/44805/ (2025)
[^9]: BCNリテール. 「TP-Linkが浮上! 無線LANルーター人気ランキングTOP10」 https://www.bcnretail.com/research/detail/20260413_618449.html (2026-04-13)
[^10]: xexeq.jp. 「TP-LinkのWi-Fi 7ルーターがA評価を獲得、国内シェア59.9%で市場リード」 https://xexeq.jp/blogs/media/topics37578 (2024)
[^11]: TP-Link 日本. 「一部報道に関する米国本社の声明」 https://www.tp-link.com/jp/press/news/21538/ (2025)
[^12]: セキュリティ対策Lab. 「米国、安全保障上の理由から海外製造ルーターの新規販売を禁止——TP-Linkや日本への影響」 https://rocket-boys.co.jp/security-measures-lab/sada-hospital-nurse-sns-post-medical-record-image-leak-privacy-risk-2/