11月に東京で開催されるセキュリティカンファレンス「PacSec 2015」では、HPのZero Day Initiativeの協力によるMobile Pwn2Ownの併催が予定されていたが、ワッセナー・アレンジメント関連法規に抵触するとの懸念からHPが中止を申し入れたそうだ(Dragos Ruiu氏のFull Disclosureへの投稿、 Ars Technicaの記事、 The Registerの記事)。

Mobile Pwn2Ownはモバイルデバイスに特化した脆弱性発見コンテストで、東京では2013年から開催されている。ワッセナー・アレンジメントは兵器などの輸出管理を目的とした国際協定だが、昨年サイバー兵器が対象に追加され、5月には米産業安全保障局(BIS)が規定の変更を提案したことから、セキュリティーリサーチが違法行為になることが懸念されていた。

Mobile Pwn2Ownの東京開催で問題になっているのは、コンテスト結果の実証コードなどを米国に持ち帰ると違法行為になる可能性だ。日本でのワッセナー・アレンジメントの履行はあいまいかつ複雑であり、研究者や主催者を法的に非常に不安定な状況にさらす可能性があるとのこと。

PacSecを主催するdragostech.com CEOのDragos Ruiu氏は、脆弱性が発見された製品を発売する企業の日本支社などに情報提供する形で輸出制限を回避し、規模を縮小したコンテストの実施を検討しているという。また、HPに代わる協力者も探しているようだ。