脅威インテリジェンスサービスの利用とコンプライアンス（3）の続きです。
４の続きは、シナリオ２　脆弱性の購入です。
この部分は、ガイダンスをそのまま翻訳することにしましょう。

セキュリティの脆弱性とマルウェアはコンピューター犯罪を犯すために頻繁に使用されており、犯罪行為を支援するために販売される場合は連邦犯罪ですが、セキュリティの脆弱性またはマルウェアの単なる購入は単独で、犯罪目的なしの場合には、一般的に違法ではありません。
ただし、2つの例外があることは、言及する必要があります。
一に、電子通信をひそかに傍受するように設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性があります。同法は、「主たる目的が、密かに、有線、口頭、電子的通信を傍受するために設計されたことを知って、もしくは知りうる場合に、電子、機械、またはその他のデバイスを意図的に所有すること」を禁止します。電子通信を傍受するように設計された特定のマルウェアは、この定義に該当するため、所有することは違法である可能性があります。購入した場合の法的リスクを最小限に抑える最良の方法は、2512条に該当する可能性のあるマルウェアは取引が発生する前に法執行機関に問い合わせ調整することです
2番目の例外は、売り手が指定された外国のテロ組織、またはIEEPAに基づく経済または貿易制裁の対象となる個人または団体であるため、購入が禁止されている場合です。 これらの懸念は、購入時に生じるものと同じです。盗まれたデータにおける IEEPAなどの当局の下での法的責任とその最善の対処方法を説明した上記の説明を参照してください。

あと、いままでに見たような具体的なガイダンス以外に
「常に守るべき二つのルール」
「オンラインフォーラムで適法にインテリジェンスを収集するためのティップス」
「ベストプラクティス」
などのアドバイスがなされています。
このベストプラクティスのところで、「法執行機関は、インテリジェンスを収集している無辜の人と犯罪者を区別できないので、調査の対象となりかねない。してがってFBIのフィールドオフィスやシークレットサービスと継続的な関係を締結しておくこと」と提唱されています。
日本だとこのようなガイダンスが出ることはなさそうだなあ、と思っていたりします。