Mobile Pwn2Own、東京での開催は不可能に？

11月に東京で開催されるセキュリティカンファレンス「PacSec 2015」では、HPのZero Day Initiativeの協力によるMobile Pwn2Ownの併催が予定されていたが、ワッセナー・アレンジメント関連法規に抵触するとの懸念からHPが中止を申し入れたそうだ(Dragos Ruiu氏のFull Disclosureへの投稿、Ars Technicaの記事、The Registerの記事)。

Mobile Pwn2Ownはモバイルデバイスに特化した脆弱性発見コンテストで、東京では2013年から開催されている。ワッセナー・アレンジメントは兵器などの輸出管理を目的とした国際協定だが、昨年サイバー兵器が対象に追加され、5月には米産業安全保障局(BIS)が規定の変更を提案したことから、セキュリティーリサーチが違法行為になることが懸念されていた。

Mobile Pwn2Ownの東京開催で問題になっているのは、コンテスト結果の実証コードなどを米国に持ち帰ると違法行為になる可能性だ。日本でのワッセナー・アレンジメントの履行はあいまいかつ複雑であり、研究者や主催者を法的に非常に不安定な状況にさらす可能性があるとのこと。

PacSecを主催するdragostech.com CEOのDragos Ruiu氏は、脆弱性が発見された製品を発売する企業の日本支社などに情報提供する形で輸出制限を回避し、規模を縮小したコンテストの実施を検討しているという。また、HPに代わる協力者も探しているようだ。　スラドのコメントを読む | セキュリティセクション | 犯罪 | セキュリティ | HP | アメリカ合衆国 | モバイル | 日本 | 政府

　関連ストーリー：
HPのセキュリティプロジェクトチーム、IEの未修正脆弱性情報概要を公開 2015年07月28日
Microsoft、発見者に125,000ドルの賞金を支払ったバグを修正せず 2015年06月25日
米国政府、セキュリティツールの輸出規制強化を検討へ 2015年05月25日
Pwn2Own 2015終了、主要ウェブブラウザやプラグインが突破される 2015年03月24日
Pwn2Own 2014で攻略された回数が最も多かったWebブラウザーはFirefox 2014年03月23日
Samsung Galaxy S III、NFC 経由でハッキングされる 2012年09月24日
Google、ハッキングコンペを開催。Chromeなどの脆弱性情報に賞金 2012年03月01日
Google Chrome、「自腹」でハッカーコンテストに参加 2011年02月10日
ハッキングコンテストで使われたWindows 7版IE8のセキュリティ機構回避手法、公開される 2011年01月17日
ハッキングコンテストで見つかった脆弱性を修正した Firefox 3.6.3 2010年04月06日
セキュリティ専門家が「30分でインターネットをダウンさせられる」と発言 2009年04月08日
Safari、侵入コンテストにおいて数秒で“陥落” 2009年03月23日
セキュリティセミナー 「PacSec 2008」でWPAが破られる 2008年11月10日
住基ネット侵入実験に関する専門家の発表に総務省が「待った」 2004年11月14日