涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

クリスマス木稿の12奉27泣からドイツで Chaos Computer Congress (CCC) が倡号された。ここでも≈Wassenaarアレンジメント∽についてのパネルディスカッションがあり、2015钳财笆惯の觉斗がアップデ〖トされた。このCCCでのパネルでは咀封弄な厦が叫た。それは、候钳に极家柒婶メ〖ルの萎叫私溪で湿的をかもしたイタリアの≈Hacking Team∽が、Wassenaarアレンジメントに答づいて廷叫度荚としての判峡が千められたという厦玛だった。このパネルは笆布URLでビデオを浑ることができる。

https://www.youtube.com/watch?v=1y-j1RJIQKI

Wassenaarアレンジメント (沸缓臼の山附では≈ワッセナ〖ˇアレンジメント圭罢∽)とは、41ヶ柜が徊裁する柜狠绅达廷叫惮扩の先寥みだが、2013钳にソフトウェア祷窖への惮扩として≈Intrusion Software∽と≈Surveillance Systems∽が纳裁され、この年盗と艰り胺いをめぐって2015钳涟染から络きな的侠が船き弹こっているのだ。徊裁柜の撮ぶれは笆布で斧ることができる。

http://www.wassenaar.org/participating-states/

また、このサイトのWassenaarアレンジメントの廷叫惮扩滦据を绩した≈Control List∽などの今梧も、いくつか2015钳12奉3泣烧でアップデ〖トされている。

http://www.wassenaar.org/control-lists/

http://www.wassenaar.org/wp-content/uploads/2015/08/WA-LIST-15-1-2015-List-of-DU-Goods-and-Technologies-and-Munitions-List.pdf

Wassenaarアレンジメントの≈Intrusion Software∽への惮扩に簇して、泣塑胳で淡揭されたものが海のところ螟しく警ないが、泣塑ネットワ〖クセキュリティ定柴のこのペ〖ジも徊雇になるひとつだろう。

http://www.jnsa.org/secshindan/secshindan_18.html#cont

この凤について讳も7奉に≈#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ券斧鼠京プログラムへの逼读とは∽のポストを今いた。

http://blog.f-secure.jp/archives/50752462.html

このポストで今いたのは肩にアメリカのセキュリティ度肠の瓤炳についてだったが、それはアメリカのセキュリティ措度の澜墒やサ〖ビスが坤肠弄にかなりのシェアを艰っていたり、度肠をリ〖ドしている措度がアメリカに驴いことから络きく使こえて丸たためとも本える。しかし悸狠は、Wassenaarアレンジメントへの≈Intrusion Software∽≈Surveillance Systems∽の纳裁はEU娄から捏捌されたものであり、EUでの惮扩の渴められ恶圭はアメリカと般っている。EUでは、Wassenaarアレンジメントの掘矢に答づいた柒推の惮扩捌が海稿2钳かけて脱罢されるようだ。

さらに、Wassenaarアレンジメントとはその叹のとおり≈アレンジメント∽なので、≈掘腆 (Treaty, Convention)∽のような柜狠恕弄勾芦蜗はなく、そのため徊裁柜蜡绍は柜柒での惮扩良弥を脱罢することになっているが、恕围の扩年までは乖うことは滇められていないので徊裁称柜それぞれでの惮扩觉斗は涩ずしも颅事みが路ろっているわけではないようだ。またWassenaarアレンジメントが≈Intangible Technology Transfer (痰妨祷窖败啪)∽の扩嘎という先寥みで惮扩しようとしているのは、苟封房マルウェアのような≈澜墒∽そのものではなく、それらを澜侯するための≈テクノロジ〖∽という湿剂として赂哼しないモノだという爬が厦を剩花にしている。≈テクノロジ〖の廷叫∽は蔡たして廷叫掐の恕弄惮扩の先寥みで滦借できるものなのか?という悼啼があるからだ。

Wassenaarアレンジメントへ≈Intrusion Software∽と≈Surveillance Systems∽が纳裁された妄统は、2011钳に面澎アフリカ拂で弹こったチュニジア、エジプト、リビア、バ〖レ〖ンなどの瘫桨霜弹の狠に、いわゆる谰娄紧柜の措度が倡券した≈FinFisher∽などのサ〖ベイランスˇソフトウェアが迫痕弄蜡涪に关掐され柜瘫の雌浑娃暗誊弄に蝗われていたことが冉汤したことから、そのような≈ソフトウェア始达∽にあたるものも廷叫惮扩をするべきという怠笨が光まったためだ。2013钳のWassenaarアレンジメントの猖柠が疽拆された妄统などは笆布の淡荚柴斧ビデオが拒しい。部も惮扩が痰い觉轮よりもとにかく部か幌めるべき、というのが捏捌荚から部刨か动拇されている。

Controlling Surveillance: Export Controls as a Tool for Internet Freedom, Mar 25, 2014

https://www.youtube.com/watch?v=1SsYOpr23DI

この淡荚柴斧にも徊裁しているが、Wassenaarアレンジメントへの≈Intrusion Software∽と≈Surveillance Systems∽の纳裁的侠に簇して介袋から簇わっていた Collin Anderson が拒嘿な浮皮の获瘟を侯っている。

Considerations on WASSENAAR ARRANGEMENT CONTROL LIST ADDITIONS FOR SURVEILLANCE TECHNOLOGIES Authored by Collin Anderson

https://cda.io/r/ConsiderationsonWassenaarArrangementProposalsforSurveillanceTechnologies.pdf

New white paper recommends targeted approach to controlling export of surveillance technologies

https://www.accessnow.org/new-white-paper-recommends-targeted-approach-to-controlling-export-of-surve/

ところが、CCCでのWassenaarアレンジメントˇパネルで汤らかになったように、スパイ脱マルウェアなどの澜侯任卿を乖うイタリアのHacking TeamがWassenaarに洁凋した廷叫度荚として千年されるという鸥倡では、このアレンジメントによる≈Intrusion Software∽や≈Surveillance System∽の廷叫惮扩の悸跟拉には悼啼を积たざるをえないと蛔える。この廷叫惮扩は、その祸度荚の赂哼する柜の蜡绍や雌浑怠簇が姥端弄に乖瓢しない嘎り悸附しないし、もし蜡绍数克が廷叫に定蜗弄ならば铜叹痰悸になりうるだろう。Hacking Teamは、2015钳の幌めからプレスリリ〖スで≈Wassenaarを藉奸する∽と咐ってきた。しかしその箕爬でイタリア蜡绍が廷叫度荚としての千年を叫すかどうかの砍汉は蔡たして惮扩大りだったのだろうか。

http://www.hackingteam.it/news/2015/02/25/hackingteam-complies-with-wassenaar.html

また、スパイウェアFinFisherを迫痕柜踩蜡绍などへ澜侯任卿していたイギリスのGamma家は、このソフトウェアの迫痕蜡绍による蝗脱での客涪刊巢について纳滇していた毖NGOのPrivacy Internationalが捏潦するなどしたため、イギリスから戮柜へ塑家を败瓢している。

附觉のWassenaarアレンジメントは、徊裁柜から徊裁柜あるいは徊裁柜から润徊裁柜への廷叫を惮扩する慌寥みであり、润徊裁柜票晃での败瓢は碰脸まったく惮扩から极统だし、润徊裁柜から徊裁柜への廷掐についてどのような胺いなのかも悼啼になる。毋えば、Wassenaarアレンジメント徊裁柜票晃では、ウィルスの浮挛の败瓢すら惮扩滦据に澈碰しうるという豺坚のために柔棠が惧がっているのに、润徊裁柜票晃ならまったく扩嘎がない。悸狠、驴眶のセキュリティ措度があるイスラエルや面柜やインドは润徊裁柜だし、アジア拂では泣塑と蹿柜しか徊裁していないので、レベルの光いハッカ〖コンファレンスが倡号されているマレ〖シアやシンガポ〖ルや贯沽や骆涎も润徊裁柜だ。

どうやらWassenaarアレンジメントの涟捏になっているのは、倡券に光刨な祷窖が妥る始达やソフトウェアはいわゆる≈黎渴柜∽のみが侯れるので、Wassenaarへそれら≈黎渴柜∽を徊裁させることで惮扩できるという券鳞だが、その券鳞极挛がすでに悼啼なものといえる。

さらに、附觉のWassenaarアレンジメントでは、改客のセキュリティ甫垫荚や井惮滔迫惟废セキュリティ措度が呵络の逼读を减けることが觉斗弄に汤らかになって丸たことが、これが的侠の匈惧に惧がっている妄统のひとつだ。

毋えば、アメリカの恕围に答づく豺坚では≈Deemed Export∽という车前があり、これは庚片で帕えるだけでも廷叫に澈碰してしまうという豺坚になる。これでは、驴眶の柜酪の骄度镑で菇喇されたセキュリティ措度で、Wassenaar润徊裁柜の骄度镑が崔まれていた眷圭、ウィルスに簇しての祷窖攫鼠を庚片で帕えるだけでWassenaarアレンジメント般瓤になってしまう。

また、オ〖プンソ〖スやパブリックドメインのソフトウェアのようにソ〖スコ〖ドが给倡されていればWassenaarアレンジメントの惮扩から近嘲されることになっているが、これも厦は帽姐ではない。毋えばMetasploitにはオ〖プンソ〖ス惹と睛脱惹があるが、もしWassenaar润徊裁柜でのペンテストの度坛があるとして悸卉のためにスタッフがMetasploitをツ〖ルとして积って掐柜するには、オ〖プンソ〖ス惹MetasploitならばWassenaarアレンジメントの惮扩から近嘲されるが、睛脱惹Metasploitを积って乖くならば廷叫度荚として判峡しなければならいない祸になる。
あるいは、どのようなオ〖プンソ〖スˇソフトウェアであっても悸狠にコ〖ドが今かれる涟の、プログラマ〖の片の面で雇えている檬超ではソ〖スコ〖ドはまだ给倡されていない。ということは、ソ〖スコ〖ドが片の面にあるプログラマ〖がWassenaar润徊裁柜に掐柜すると、Wassenaarアレンジメント般瓤という豺坚ができうる。これらの毋は、CCCでのWassenaarパネルで悸狠に叫た厦玛だ。

アメリカの睛坛臼でのWassenaarアレンジメント滦炳惮扩については、2015钳7奉のパプリックコメントを瓤鼻した糠しいドラフトが海钳叫てくるであろう。EUでは海稿2钳粗かけで滦炳する惮扩を侯ると咐われているので、すでにそれへ羹けてセキュリティ定柴から罢斧を庙掐しようとする瓢きがある。

http://www.csmonitor.com/World/Passcode/2015/0929/European-Parliament-member-presses-to-change-spyware-export-rules

しかし、冯渡は≈Wassenaarアレンジメント∽の掘矢极挛を饯赖しなければ啼玛はなくならないだろう。それに羹けてのセキュリティ簇犯荚の瓢きも弹きている。

Overhaul Wassenaar or ruin next Heartbleed fix, top policy boffin says

http://www.theregister.co.uk/2015/12/11/overhaul_wassenaar_or_ruin_next_heartbleed_fix_top_policy_boffin_says/

惧淡の Collin Anderson は、泣塑のセキュリティ度肠からも罢斧を滇めている。Wassenaarアレンジメントの滦炳への稍奥や督蹋のある数は、笆布のURLのアンケ〖トに毖胳だが痰淡叹で紊いので罢斧を流ってみて瓦しい。

Questionnaire on Intrusion Software Export Regulations in Japan (English)

https://docs.google.com/forms/d/1NdmoqhmIJwMD0QuN0k-EEPQuIwgP8PA3TPIlPM8Iufc/viewform

#Wassenaar アレンジメントのゆくえ2 -- 柜狠绅达廷叫惮扩と≈Intrusion Software∽年盗の逼读とは

トラックバックURL

#Wassenaar アレンジメントのゆくえ2 -- 柜狠绅达廷叫惮扩と≈Intrusion Software∽年盗の逼读とは

≈オフィシャルコメント∽カテゴリの呵糠淡祸

≈by¨光粗 逛诺∽カテゴリの呵糠淡祸

トラックバックURL

≈by¨光粗逛诺∽カテゴリの呵糠淡祸