VeraCryptプロジェクトの更新
(sourceforge.net)- VeraCryptのWindowsドライバー署名用Microsoftアカウントが予告なく停止され、開発者のMounir IdrassiがWindows版アップデートを配布できない状況に置かれている
- Microsoft側は異議申し立て不可というメッセージだけを残し、複数回問い合わせても自動応答以外の返答がない状態である
- コミュニティはアカウント復旧手続き、ソーシャルメディアでの情報発信、代替署名方式などさまざまな解決策を提案し、支援に乗り出している
- 一部ユーザーはRufusプロジェクトの類似事例を共有し、ドメイン検証エラーなどの事務的問題の可能性を示している
- 複数の開発者やユーザーがMicrosoft内部のつながりや公開支援を試み、VeraCryptの継続的な保守とセキュリティのために協力する意思を示している
VeraCryptプロジェクトの更新
-
Microsoftアカウント終了による開発中断
- VeraCrypt開発者のMounir Idrassiは、数か月の不在の後、Windowsドライバーとブートローダーの署名に使っていたMicrosoftアカウントが終了されたと明らかにした
- Microsoftは事前警告やメール通知なしにアカウントを停止しており、メッセージには異議申し立て不可と表示されている
- 複数の経路でMicrosoftへの連絡を試みたが自動応答しか受け取れず、実際の担当者との接触は実現していない
- これによりVeraCryptのWindows版アップデート配布が不可能となり、プロジェクト運営に大きな支障が出ている
- Linux版とmacOS版は引き続き更新できるが、大多数のユーザーがWindowsを使っているため影響は大きい
-
コミュニティの対応と提案
- ユーザーのMartyは、現在のWindows版(1.26.24)が2011年の証明書で署名されており、まもなく失効予定だとして、Secure Boot環境で未署名版を使う場合の問題を懸念している
- AJ BはMicrosoftサポートページのアカウント復旧フォームとカスタマーサポートのリンクを利用し、**RedditおよびX(旧Twitter)**での公開的な情報発信を勧めている
- Alex Rはこの件をMicrosoft関連のソーシャルチャネルで共有して注目度を高めると提案し、Idrassiはこれを前向きに受け入れた
- 风之暇想は署名に依存しないアーカイブ型暗号化プログラムの追加を提案し、署名問題に対応できる方策を示した
-
追加の助言と支援の試み
- Phoenixは、ソフトウェアが違法活動に使われる可能性があるという通報によってアカウントが削除された可能性に言及し、非システムパーティションのみをサポートする暫定的な制限版を提案した
- Enigma2IllusionはMicrosoft CEOのSatya Nadellaに直接メールを送る方法を具体的に提示した
- メール件名、本文、添付スクリーンショット、連絡先情報などを含む書簡のサンプル様式を提供した
- Preguntar Jeevesは、アカウントが完全に削除されたのではなく無効化状態の可能性に触れ、暗号化コミュニティの人物やメディア、政治家に連絡するよう助言した
- 言及された人物にはBruce Schneier、Chris Titus、Niels Ferguson、Rand Paul、Ron Wydenなどが含まれる
-
類似事例と解決の可能性
- Pete Batardは、Rufusプロジェクトで同じMicrosoft Partner Centerのエラーを経験したと明かした
- 彼の場合、ドメイン登録事業者のWHOIS検証失敗により自動検証が止まっており、Microsoftサポートチームとの直接連絡後に解決した
- エラーメッセージの「異議申し立て不可」という文言は、実際のビジネス検証手続きとは別の自動文言である可能性が高いと説明した
- ドメイン登録の証明資料を提出して問題を解決しており、Idrassiのケースも同様の原因かもしれないと述べた
- Pete Batardは、Rufusプロジェクトで同じMicrosoft Partner Centerのエラーを経験したと明かした
-
Microsoft内部への働きかけ
- Rafael RiveraはMicrosoft内部の人脈を通じて問題を伝えられるとして、メール共有を依頼した
- コミュニティ内の複数ユーザーがIdrassiの状況に共感と支持を示し、プロジェクト継続を助けるためのさまざまな技術的・社会的支援策を提案している
1件のコメント
Hacker Newsのコメント
現在、自分もWireGuard関連で同じ問題に直面している
何の警告や通知もなくアカウントが停止され、今は60日間の異議申し立て手続きの最中だ
もし実際にRCE脆弱性が発生して即座にパッチを配布しなければならない状況だったら、Microsoftは自分の手を完全に縛っていたことになる
もしMicrosoft内部で助けられる人がいるなら連絡してほしい (jason at zx2c4 dot com)
こうした企業が正当な利用者にサービスを拒否することは違法であるべきだ
米国では政治的理由で難しいだろうが、EUでは可能性がある
EU域外の人々もエストニアのe-Residencyを通じてEUの規制上の保護を受けられるかもしれない
Microsoftがユーザーのネットワーク暗号化やドライブ暗号化を妨げようとしているように見える
しかもMicrosoftはAzure Kubernetes ServiceでもWireGuardをサポートしているのに
60日という期間は妙に長くも短くもある
米国政府がセキュリティ脆弱性を悪用する時間を稼ぐには十分で、その後Microsoftが「ミスだった」と言って復旧することもできる
結局これはセキュリティソフトウェアを一時的に縛り付ける戦略のように見える
Microsoft副社長が投稿した更新ツイートは参考になる
最初はVeracryptの開発者たちがこんな状況に置かれていることに驚いたが、今度はWireGuardの開発者までそうだとは
もしかしてMicrosoftはオープンソースプロジェクトを抑え込み、自社ソリューションを押し出すための新しい方針を実施しているのだろうか?
最近は企業が非専門ユーザーを狙った詐欺アプリの配布を防ぐために、こうした措置を強化している
Googleがサイドローディングを防ごうとしているのと似た文脈だ
こうした問題は報道されて初めて解決に向かう構造になっている
以前、neocitiesがBingと連絡が取れなかった時のように、Ars Technicaのような媒体が取り上げる必要がある
規制措置が必要な時点だ
現在のアプリ配布の仕組みは、すでに「ユーザーが選ぶ」モデルではなく、企業が管理するホワイトリスト方式へと変わっている
個人開発者やオープンソース開発者はこの過程でKafka的な手続きと不合理なコスト、不透明な基準に苦しめられている
自分も自作アプリPayloadのDigicertコード署名更新が6か月も止まっている
これは単なる技術的問題ではなく、独占的な検証システムの問題だ
SSL証明書のpre-Let’s Encrypt時代よりも高価で、面倒で、曖昧だ
これはまるでLibreOffice事件の再現のようだ
関連記事を見ると、MicrosoftはLibreOfficeの開発版をブロックしていた
こうした仕組みは危険で、Windowsを離れる理由がまた一つ増える
Microsoftの自動不正利用検知システムは出来が悪く、理由もなくアカウントがロックされることがよくある
できれば重要な用途にはMSアカウントを使わず、署名は第三者CAを使うのがよい
TrueCrypt開発者が突然プロジェクトを終了し、BitLockerを代替として推奨した理由はいまだに謎だ
Paul Le RouxのWikipedia記事参照
アーカイブリンク
今の状況を見ると、Linuxだけが唯一の希望のように感じる
WindowsやmacOSはビジネス用途で使うにはあまりにも危険で非効率だ
自分の予想では、Microsoftは世論の反応を試している
反発が大きければ「ミスだった」と言ってアカウントを復旧し、反応が弱ければVPN、Torrent、広告ブロッカーのようなソフトウェアの署名鍵を徐々に止めていくだろう
彼らのオープンソース参加は純粋な意図ではなく、ビジネス上の計算だった
いまやWindowsを完全にロックダウンしようとしており、GitHubとVSCodeも同じ道をたどる可能性が高い
Veracryptの一部機能はWindowsでしか使えない
たとえばシステムパーティション全体の暗号化やHidden OSのインストールはMBRベースのWindowsでのみ動作する
こうしたplausible deniability技術がOSレベルでさらに発展してほしかったが、今ではほとんど消えてしまった
BlackHatの発表資料にも似た試みがあった
Microsoftが開発者の署名証明書を無効化したため、Windows向けリリースを配布できなくなった
すでに本人確認済みの開発者の証明書を取り消す理由が何なのか?
こうした決定に法的に対抗する方法があるのかも気になる