クリスマス直後の12月27日からドイツで Chaos Computer Congress (CCC) が開催された。ここでも「Wassenaarアレンジメント」についてのパネルディスカッションがあり、2015年夏以降の状況がアップデートされた。このCCCでのパネルでは衝撃的な話が出た。それは、昨年に自社内部メールの流出暴露で物議をかもしたイタリアの「Hacking Team」が、Wassenaarアレンジメントに基づいて輸出業者としての登録が認められたという話題だった。このパネルは以下URLでビデオを視ることができる。


  Wassenaarアレンジメント (経産省の表現では「ワッセナー・アレンジメント合意」)とは、41ヶ国が参加する国際武器輸出規制の枠組みだが、2013年にソフトウェア技術への規制として「Intrusion Software」と「Surveillance Systems」が追加され、この定義と取り扱いをめぐって2015年前半から大きな議論が巻き起こっているのだ。参加国の顔ぶれは以下で見ることができる。
  また、このサイトのWassenaarアレンジメントの輸出規制対象を示した「Control List」などの書類も、いくつか2015年12月3日付でアップデートされている。

  Wassenaarアレンジメントの「Intrusion Software」への規制に関して、日本語で記述されたものが今のところ著しく少ないが、日本ネットワークセキュリティ協会のこのページも参考になるひとつだろう。

  この件について私も7月に「#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは」のポストを書いた。
  このポストで書いたのは主にアメリカのセキュリティ業界の反応についてだったが、それはアメリカのセキュリティ企業の製品やサービスが世界的にかなりのシェアを取っていたり、業界をリードしている企業がアメリカに多いことから大きく聞こえて来たためとも云える。しかし実際は、Wassenaarアレンジメントへの「Intrusion Software」「Surveillance Systems」の追加はEU側から提案されたものであり、EUでの規制の進められ具合はアメリカと違っている。EUでは、Wassenaarアレンジメントの条文に基づいた内容の規制案が今後2年かけて用意されるようだ。

  さらに、Wassenaarアレンジメントとはその名のとおり「アレンジメント」なので、「条約 (Treaty, Convention)」のような国際法的拘束力はなく、そのため参加国政府は国内での規制措置を用意することになっているが、法律の制定までは行うことは求められていないので参加各国それぞれでの規制状況は必ずしも足並みが揃ろっているわけではないようだ。またWassenaarアレンジメントが「Intangible Technology Transfer (無形技術移転)」の制限という枠組みで規制しようとしているのは、攻撃型マルウェアのような「製品」そのものではなく、それらを製作するための「テクノロジー」という物質として存在しないモノだという点が話を複雑にしている。「テクノロジーの輸出」は果たして輸出入の法的規制の枠組みで対処できるものなのか?という疑問があるからだ。

  Wassenaarアレンジメントへ「Intrusion Software」と「Surveillance Systems」が追加された理由は、2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発した「FinFisher」などのサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、そのような「ソフトウェア兵器」にあたるものも輸出規制をするべきという機運が高まったためだ。2013年のWassenaarアレンジメントの改訂が紹介された理由などは以下の記者会見ビデオが詳しい。何も規制が無い状態よりもとにかく何か始めるべき、というのが提案者から何度か強調されている。
Controlling Surveillance: Export Controls as a Tool for Internet Freedom, Mar 25, 2014


  この記者会見にも参加しているが、Wassenaarアレンジメントへの「Intrusion Software」と「Surveillance Systems」の追加議論に関して初期から関わっていた Collin Anderson が詳細な検討の資料を作っている。
Considerations on WASSENAAR ARRANGEMENT CONTROL LIST ADDITIONS FOR SURVEILLANCE TECHNOLOGIES Authored by Collin Anderson
New white paper recommends targeted approach to controlling export of surveillance technologies

  ところが、CCCでのWassenaarアレンジメント・パネルで明らかになったように、スパイ用マルウェアなどの製作販売を行うイタリアのHacking TeamがWassenaarに準拠した輸出業者として認定されるという展開では、このアレンジメントによる「Intrusion Software」や「Surveillance System」の輸出規制の実効性には疑問を持たざるをえないと思える。この輸出規制は、その事業者の存在する国の政府や監視機関が積極的に行動しない限り実現しないし、もし政府方針が輸出に協力的ならば有名無実になりうるだろう。Hacking Teamは、2015年の始めからプレスリリースで「Wassenaarを遵守する」と言ってきた。しかしその時点でイタリア政府が輸出業者としての認定を出すかどうかの審査は果たして規制寄りだったのだろうか。

  また、スパイウェアFinFisherを独裁国家政府などへ製作販売していたイギリスのGamma社は、このソフトウェアの独裁政府による使用での人権侵害について追求していた英NGOのPrivacy Internationalが提訴するなどしたため、イギリスから他国へ本社を移動している。

  現状のWassenaarアレンジメントは、参加国から参加国あるいは参加国から非参加国への輸出を規制する仕組みであり、非参加国同士での移動は当然まったく規制から自由だし、非参加国から参加国への輸入についてどのような扱いなのかも疑問になる。例えば、Wassenaarアレンジメント参加国同士では、ウィルスの検体の移動すら規制対象に該当しうるという解釈のために悲鳴が上がっているのに、非参加国同士ならまったく制限がない。実際、多数のセキュリティ企業があるイスラエルや中国やインドは非参加国だし、アジア圏では日本と韓国しか参加していないので、レベルの高いハッカーコンファレンスが開催されているマレーシアやシンガポールや香港や台湾も非参加国だ。

  どうやらWassenaarアレンジメントの前提になっているのは、開発に高度な技術が要る兵器やソフトウェアはいわゆる「先進国」のみが作れるので、Wassenaarへそれら「先進国」を参加させることで規制できるという発想だが、その発想自体がすでに疑問なものといえる。

  さらに、現状のWassenaarアレンジメントでは、個人のセキュリティ研究者や小規模独立系セキュリティ企業が最大の影響を受けることが状況的に明らかになって来たことが、これが議論の俎上に上がっている理由のひとつだ。
  例えば、アメリカの法律に基づく解釈では「Deemed Export」という概念があり、これは口頭で伝えるだけでも輸出に該当してしまうという解釈になる。これでは、多数の国籍の従業員で構成されたセキュリティ企業で、Wassenaar非参加国の従業員が含まれていた場合、ウィルスに関しての技術情報を口頭で伝えるだけでWassenaarアレンジメント違反になってしまう。

  また、オープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればWassenaarアレンジメントの規制から除外されることになっているが、これも話は単純ではない。例えばMetasploitにはオープンソース版と商用版があるが、もしWassenaar非参加国でのペンテストの業務があるとして実施のためにスタッフがMetasploitをツールとして持って入国するには、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitを持って行くならば輸出業者として登録しなければならいない事になる。
  あるいは、どのようなオープンソース・ソフトウェアであっても実際にコードが書かれる前の、プログラマーの頭の中で考えている段階ではソースコードはまだ公開されていない。ということは、ソースコードが頭の中にあるプログラマーがWassenaar非参加国に入国すると、Wassenaarアレンジメント違反という解釈ができうる。これらの例は、CCCでのWassenaarパネルで実際に出た話題だ。

  アメリカの商務省でのWassenaarアレンジメント対応規制については、2015年7月のパプリックコメントを反映した新しいドラフトが今年出てくるであろう。EUでは今後2年間かけで対応する規制を作ると言われているので、すでにそれへ向けてセキュリティ協会から意見を注入しようとする動きがある。

  しかし、結局は「Wassenaarアレンジメント」の条文自体を修正しなければ問題はなくならないだろう。それに向けてのセキュリティ関係者の動きも起きている。
Overhaul Wassenaar or ruin next Heartbleed fix, top policy boffin says

  上記の Collin Anderson は、日本のセキュリティ業界からも意見を求めている。Wassenaarアレンジメントの対応への不安や興味のある方は、以下のURLのアンケートに英語だが無記名で良いので意見を送ってみて欲しい。
Questionnaire on Intrusion Software Export Regulations in Japan (English)