オーストラリアのハッカーはハッカーコンベンションでゼロデイ攻撃を安全に実行できるとワッセナーの専門家が語る

Table of Contents

オーストラリアのハッカーはハッカーコンベンションでゼロデイ攻撃を安全に実行できるとワッセナーの専門家が語る

防衛科学技術機構(DSTG*)によると、 ACSC2016オーストラリアのハッカーは、ワッセナー協定に基づき、ゼロデイ脆弱性を海外に持ち出し、ステージやトレーニングセッションでそれを実演し、ハッキングコンテストの一環としてそれを悪用して賞金を獲得することが自由にできる。

DSTOのレナード・ウィルズ。写真:ダレン・パウリ、The Register紙。

昨年導入された防衛貿易管理法に基づきオーストラリアも加盟しているこの国際協定は、軍事用途に使用可能な汎用運動エネルギー兵器およびデジタル兵器、暗号システム、通信システムの移動を制限することを目的としています。指定された技術の輸出を希望する者は、例外規定の適用除外を受ける必要があります。

この協定は複雑で泥沼のような状況です。署名国ごとに規制の実施方法が異なり、クラウドサーバーの所在地、管理パスワード保有者の国籍、あるいは脆弱性が公開ソフトウェアに影響を及ぼすか社内カスタムツールに影響を及ぼすかなどに基づいて、アプリケーションが制限される可能性があります。

協定違反への恐れから、ハッカーコミュニティの一部は、セキュリティカンファレンス、最近では日本のPacSecで行われた人気のモバイルPwn2Ownカンファレンスでゼロデイ脆弱性を公表しなくなっている。

DTSOの輸出管理の専門家、レナード・ウィルス氏は、オーストラリアのハッカーは少なくともいくつかのシナリオにおいては安心できると語る。

同氏は、Google Chrome のゼロデイ脆弱性を握っているハッカーは、カンファレンスやステージ上、Pwn2Pwn カンファレンスでその脆弱性を自由に公開できるだろうと述べている。

「脆弱性は公開されているソフトウェアに存在するため、制御できないというのが私の簡単な答えです」とウィルズ氏はキャンベラで開催されたオーストラリアサイバーセキュリティカンファレンスでVulture Southに語った。

「この脆弱性は、未知であるにもかかわらず、依然として公知となっている。

「パブリックドメインではない特定の商用ソフトウェアがある場合は、さらに複雑になります。」

DSTO は、ワッセナーがオーストラリアのハッカーに与える影響を最小限に抑えようとする試みとして広く認識されており、セキュリティ担当者がさまざまな状況下で脆弱性、サービス、またはアプリが制御されるかどうかを確認するのに役立つオンライン施設を作成しました。®

* 読者のデイビッドさんに感謝します。彼は、国防科学技術機構 (DSTO) が国防科学技術グループ (DSTG) になったことを知らせてくれましたが、彼は「Web サイトは依然 DSTO のままです...政府内の物事はそれほど速く動かないものです」と冗談を言っています。

Discover More