中国とシンガポールにルーツを持つネットワーク機器メーカー「TP-Link」が、再び大きな論争の渦中にいます。
テキサス州のケン・パクストン州司法長官は、TP-Linkのルーターなどが中国共産党によるサイバー攻撃に悪用され、アメリカ人のデバイスへのアクセスを許したとして提訴しました。一方でTP-Link側は、こうした主張を強く否定しています。
本記事では、この「TP-Link問題」をめぐる米国の訴訟、調査、過去の攻撃事例、日本で販売されている製品の状況までを整理し、一般ユーザーの視点から「どこまで気にすべきか」を解説します。
目次
再燃するTP-Link問題とは何か
中国とシンガポールに本社を持つ大手ネットワーク機器メーカーのTP-Linkが、再び大きな批判の対象になっています。2026年2月、テキサス州のケン・パクストン州司法長官は、「TP-Linkが中国共産党(CCP)にアメリカ人のデバイスへのアクセスを許した」と主張し、TP-Link Systems Inc.を提訴しました。
州司法長官のプレスリリースによると、TP-Linkはプライバシーとセキュリティを強調して製品を販売しながら、実際には中国政府系ハッカーによるサイバー攻撃にその製品が利用されていたとされています。また、製品の原産国表示や企業構造についても、消費者に誤解を与えたと非難しています。
テキサス州の訴訟で何が争われているのか
訴状や報道を総合すると、テキサス州側の主張はおおまかに次の3点に整理できます。
- 中国政府系ハッカーによる悪用
TP-Link製ルーターなどが、中国政府の支援を受けたとされるハッカーグループのサイバー攻撃キャンペーンで利用された。攻撃の踏み台やボットネットとして使われ、米国の重要インフラやクラウドサービスへの攻撃に関与したとされる。 - 「Made in Vietnam」表示などの表示問題
本体に「ベトナム製」と表示しつつ、実際には多くの部品や開発が中国企業と深く結びついており、そのリスクを隠して消費者に「中国リスクの低い製品」と誤解させたと主張している。 - セキュリティ機能の誇大表示
ルーターやスマートホーム機器向けに提供される「HomeShield」などのセキュリティ機能が、宣伝どおりの保護を提供していないにもかかわらず、安全であるかのように販売していたと訴えている。
パクストン州司法長官は、TP-Linkの行為が消費者保護法や州のサイバーセキュリティ関連法に違反するとして、民事制裁金とともに、今後の販売方法に制限をかける差し止め命令も求めています。
TP-Linkを巡る米国側の動き:訴訟だけではない
今回のテキサス州の訴訟は、突然降って湧いた話ではありません。ここ数年、米国ではTP-Linkに対して段階的に圧力が高まっていました。
連邦レベルでの調査と「販売禁止」検討
2025年には、米商務省や国防総省、司法省などがTP-Linkを調査していると報じられ、「国家安全保障上のリスクがある場合、米国内での販売や事業を制限する可能性がある」と報道されています。また、米議会の対中委員会は、TP-Linkを名指しで問題視し、アメリカ人に対して「中国製ルーターの使用をやめるように」勧告したことも話題になりました。
こうした流れの中で、TP-Link製品が深刻な脆弱性を抱えており、中国政府系ハッカーによるボットネット攻撃に利用されたという技術レポートも次々と公表されました。Microsoftやセキュリティ企業の報告では、「TP-Linkの古いルーターを乗っ取ったボットネットが、クラウドサービスのアカウントに対するパスワード攻撃に使われていた」とされています。
ボットネットと国家レベルのサイバー作戦
TP-Linkだけが標的というわけではありませんが、TP-Link製ルーターの普及台数が多いこともあり、ボットネットを構成する機器として頻繁に登場しています。特に、Microsoftや各国の政府機関が警告している「中国政府系とされる攻撃グループ」による作戦で、古いファームウェアのTP-Linkルーターが多数悪用された事例が確認されています。
重要なのは、「TP-Linkが中国政府にルーターを開放していた」のではなく、「セキュリティホールを突かれて乗っ取られた」パターンも多いという点です。しかし、米政府や州当局は、「中国にルーツを持つ企業で脆弱性が多いということは、結果的に中国政府に攻撃の足場を提供している」と見ており、リスクの高さを問題視しています。
TP-Link側の主張:「中国政府にコントロールされていない」
これに対してTP-Link側は、公式声明やプレスリリースで強く反論しています。要点は次のとおりです。
- TP-Linkのグローバル本社は現在、米カリフォルニア州アーバインにあり、中国本土のTP-Linkとは別法人である。
- 「中国政府を含むいかなる政府も、ルーターやその他製品の設計・製造をコントロールしていない」と明言している。
- 過去に中国政府系ハッカーに製品が悪用された件については、「他社製ルーターと同様、脆弱性を突かれたものであり、修正版ファームウェアを提供するなど対応している」と説明している。
また、日本語サイトでも同趣旨の声明が掲載されており、「中国政府が設計や生産を支配しているという主張は事実ではない」と否定しています。
「中国共産党との関わり」は事実なのか?
ユーザーが一番気になるのは、「TP-Linkは中国共産党とつながっているのか?」「使うと情報を抜かれるのか?」という点でしょう。この問いに対しては、現在の公開情報だけから見ると、次のように整理するのが妥当です。
1. 直接の支配・バックドアの存在は「立証されていない」
米政府やテキサス州は、TP-Linkを「中国とつながるリスクの高い企業」と見て訴訟や調査を行っていますが、「中国政府がTP-Link製品の設計・運用を直接コントロールし、意図的なバックドアを仕込んでいる」という決定的な証拠は、少なくとも一般公開されていません。訴訟もまだ係争中で、判決が出たわけではありません。
2. しかし、脆弱性が中国政府系ハッカーに繰り返し悪用されているのは事実
一方で、TP-Link製品に深刻な脆弱性が見つかり、中国政府系とされる攻撃グループに悪用された事例は、複数のセキュリティ企業や政府機関のレポートで確認されています。古いルーターを乗っ取られてボットネットに組み込まれたり、ファームウェアを書き換えられたりする攻撃が報告されており、国家レベルのサイバー作戦に利用されているケースもあります。
3. 政治的・地政学的な「リスク評価」にさらされている企業である
したがって、TP-Linkは「中国共産党の組織そのもの」というより、中国にルーツを持ち、サプライチェーンも中国に依存し、脆弱性も多く報告されているため、米国から国家安全保障上のリスクとして厳しく見られている企業だと言えます。安全か危険かという二元論ではなく、「リスクの取り方をどう考えるか」が問われている状況です。
日本で販売されているTP-Link製品の状況
では、日本で利用されているTP-Link製ルーターやIPカメラはどうでしょうか。
現時点で、日本政府がTP-Link製品の輸入や販売を禁止したり、「使用をやめるように」と公式に勧告したりしてはいません。
しかし、情報処理推進機構(IPA)やJPCERT/CCは、TP-Link製品に関する脆弱性情報や攻撃事例をたびたび公表しています。
日本で報告されている主なポイント
- TP-Linkルーターが攻撃キャンペーンの踏み台にされた事例
IPAの注意喚起では、日本でも利用者の多いTP-Link製ルーターが、攻撃者に乗っ取られて組織内ネットワーク侵入の踏み台として使われた事例が紹介されています。適切な更新を行わないと、自分のルーターが他者への攻撃に利用されてしまうリスクがあります。 - 古いルーターや一部モデルの深刻な脆弱性
クリックジャッキングやOSコマンドインジェクションなどの脆弱性があるとして、JVN(Japan Vulnerability Notes)に掲載されたTP-Link製ルーターも存在します。サポートが終了した古いモデルについては、「使用を停止し、後継機種に乗り換えること」が推奨されています。 - IPカメラ「VIGIシリーズ」の認証まわりの脆弱性
2026年2月には、TP-Link製VIGIシリーズIPカメラのパスワードリカバリ機能に不備があり、同一ネットワーク上の攻撃者が管理者パスワードをリセットできてしまう脆弱性が報告されています。開発元はアップデートを提供しており、ユーザーには更新が呼びかけられています。
TP-Link日本法人のスタンス
TP-Link日本法人のサイトにも、米国本社の声明内容が転載されており、「中国政府が当社製品の設計や生産をコントロールしている事実はない」「中国本土向けのTP-Linkとは別法人である」と説明しています。また、脆弱性報告の受付窓口やセキュリティアドバイザリも用意されており、少なくとも形式的には国際的なベンダーと同水準の対応体制を整えているとされています。
日本のユーザーはどう判断すべきか
ここまでの情報を踏まえると、一般ユーザーとしては次のように考えると現実的です。
- TP-Link製品が「即座に危険で使ってはいけない」と断定できる状況ではない。
- しかし、脆弱性が多く報告されていること、中国政府系ハッカーに悪用された事例があること、米国で訴訟・調査の対象になっていることを踏まえると、他社製品よりも「リスク要因として意識しておく価値はある」。
- 特に、重要な企業ネットワークや機密性の高い環境では、調達ポリシーの観点から「中国リスクをどう扱うか」を組織として検討すべき段階に来ている。
TP-Link製品を安全に使うための基本対策
すでにTP-Linkのルーターやカメラを使っている場合、すぐに買い替えるかどうかは利用環境によりますが、最低限次の対策は取っておくことをおすすめします。
- ファームウェアを最新に保つ
管理画面にログインし、ファームウェア更新があれば必ず適用します。サポート終了製品で重要な脆弱性が見つかった場合は、買い替えも検討すべきです。 - 初期パスワードを必ず変更する
「admin/admin」などの初期ID・パスワードは、攻撃者の常識です。長くて複雑なパスワードに変更し、同じパスワードを他のサービスで使い回さないようにします。 - リモート管理機能を不要なら無効化する
インターネット側からルーター管理画面にアクセスできる設定は、攻撃者に入口を開くのと同じです。必要な場合でもIP制限やVPN経由など、できるだけ制限をかけます。 - IoT機器はネットワークを分離する
ルーターの機能や別のアクセスポイントを使い、PCや業務端末とIoT機器を異なるネットワークに分けると、万一IoT側が乗っ取られても被害を限定できます。 - リスク許容度に応じて、別メーカーへの乗り換えも選択肢に
自宅の動画配信やWeb閲覧程度なら、上記対策だけでもリスクはかなり下げられます。一方で、仕事や個人情報を大量に扱う環境で不安が拭えない場合は、サポート体制や国別リスクを含めてベンダーを選び直すのも現実的な判断です。
まとめ:TP-Link問題は「白か黒か」ではなく、リスク評価の問題
TP-Linkをめぐる議論は、「中国共産党の道具だから絶対に使ってはいけない」と断言できるほど単純ではありません。一方で、「どこのメーカーも同じだから気にしなくてよい」と言えるほど軽い問題でもありません。
現時点で言えるのは、TP-Link製品は脆弱性の報告や悪用事例が多く、米国では国家安全保障上の観点から厳しい視線が向けられている企業であるということです。そして、その影響は日本のユーザーにも無関係ではありません。
私たちができることは、政治的なスローガンの是非を論じることではなく、自分のネットワーク環境・情報資産・リスク許容度を冷静に評価し、製品選びと設定・運用のレベルで対策を取ることです。TP-Link問題は、その重要性を改めて突きつける象徴的なケースだと言えるでしょう。