Microsoft、主要オープンソースプロジェクトの開発者アカウントを停止
(bleepingcomputer.com)- MicrosoftがWireGuard、VeraCrypt、MemTest86、Windscribe VPNなど主要なオープンソースプロジェクトの開発者アカウントを事前通知なしに停止し、Windows向けビルドとセキュリティパッチの配布が中断
- 停止されたアカウントはWindows Hardware Programのパートナーアカウントで、復旧手順や迅速な再有効化手段は提供されていない
- VeraCryptとWireGuardの開発者は、警告やメールなしでアカウントがブロックされたとし、サポートチームへの連絡も自動応答にとどまったと説明
- Microsoftは、必須のアカウント検証手続きが未実施だったため自動停止されたと説明し、その後一部アカウントの復旧支援とコミュニケーション改善を約束
- コミュニティでは、異議申し立て手続きの非効率さと開発者支援の不足を批判し、重要なオープンソースプロジェクトが影響を受けた点を懸念
Microsoftのオープンソース開発者アカウント停止騒動
- Microsoftが主要オープンソースプロジェクトの開発者アカウントを事前通知なしに停止し、その結果Windows向けの新しいビルドとセキュリティパッチの配布が中断している状況
- 停止されたアカウントはWindows Hardware Programのパートナーアカウントで、復旧手順や迅速な再有効化手段は提供されていない
- 影響を受けたプロジェクトにはWireGuard、VeraCrypt、MemTest86、Windscribe VPNなどが含まれる
- これらのプロジェクトは、Windowsドライバー署名およびブートローダー署名にMicrosoftアカウントを利用してきた
- VeraCrypt開発者のMounir Idrassiは、長年使用してきたアカウントが予告なく終了され、メールや警告なしに通知だけを受け、異議申し立ても不可能だったと述べた
- Microsoftサポートチームに複数の経路で連絡したが、自動応答とボットしか返答せず、実際の担当者にはつながらなかったと説明
- LinuxとmacOS向けの更新は可能だが、大多数のユーザーがWindowsを使っているため大きな打撃だと言及
- WireGuardメンテナーのJason A. Donenfeldも、「警告や通知なしに、ログインした途端アカウントが停止された」とし、60日の異議申し立て手続きを進めていると明かした
- 彼は「もしWireGuardに深刻なリモートコード実行(RCE)脆弱性が発生していたら、即座にパッチ配布は不可能だっただろう」として危険性を指摘
- WindscribeとMemTest86の開発チームも、数週間にわたりMicrosoftサポートチームと連絡が取れなかったと報告
Microsoftの説明と後続対応
- TechCrunchの報道後、Microsoft副社長のScott Hanselmanは、該当アカウントがWindows Hardware Programの必須アカウント検証手続きを完了していなかったため自動停止されたと説明
- この検証手続きは、2024年4月以降に完了していないパートナーを対象としており、2025年10月からメールで告知されていたという
- 2024年10月1日に掲載されたHardware Dev Centerのお知らせによれば、30日以内に検証を完了しない場合、自動停止が行われる
- Microsoftは2026年3月30日の更新で、「検証を完了できなかったアカウントはWindows Hardware Programから停止され、提出は今後許可されない」と明記
- BleepingComputerはMicrosoft報道担当者に追加の問い合わせを送ったが、まだ回答を得ていない
- その後、HanselmanがVeraCrypt開発者Idrassiに直接連絡し、アカウント復旧を支援。Idrassiは、報道とソーシャルメディアでの拡散がMicrosoftの対応を促したと述べた
- Microsoft Windows and Devices部門のEVPであるPavan Davuluriは、「パートナーがこの手続きを認識できるよう、メール、バナー、リマインダーで努力してきたが、一部は見落としていた」とし、コミュニケーション方法を改善すると述べた
コミュニティの反応
- 一部ユーザーは、「Microsoft製品に組み込まれるソフトウェアを開発していても、問題が起きたときに人間と直接話せない現実が怖い」と指摘
- 別の意見では、「異議申し立て手続きが過度に複雑で非効率であり、WireGuardのような重要プロジェクトが影響を受けるのは問題だ」と批判
- 一部では、「Scott Hanselmanはそれでも信頼できる人物だ」として肯定的な反応もあった
1件のコメント
Hacker Newsの意見
昨日議論された、MicrosoftがVeraCryptのアカウントを終了し、Windows Updateが停止した件についての話
あわせて、開発者たちの意見とMicrosoftのその後の更新を含む以前のスレッドも参考になる
Microsoftは件名に「Action required」と付いたメールをあまりにも頻繁に送ってくる
実際には何の対応も不要だったり、自分とは無関係だったりすることがほとんど
こうしたメールを検索してみると、結局何もしなくてよかったものが大量に出てくる
サービスが自動で有効になり、後から請求書が来るまで見つけることすらできなかった
プログラムをやめて2年経つのに、いまだに「Action required」メールが来る
GitHub Desktopも似たようなもので、macOSで自動更新をオフにできず、毎日管理者権限を要求してくる
こうしたユーザーへの嫌がらせは法律で止めるべきだと思う
ほとんどがフィッシングメールなので、本物のMicrosoftメールだとしても開かない
Microsoftは「今回の件をきっかけにコミュニケーション改善を検討する」と言ったが、
まるでVogonが地球を爆破したあとで「次はもっと上手くやろう」と言っているようなものだ
技術業界では、**セキュリティはしばしば単なる『見せ物』**にすぎない
実際の目的は、アクセス統制やプライバシー侵害のような不快な方針を押し通すための手段であることが多い
署名手続きも結局は一方がすべての権限を握る形になり、その権限は必ず乱用される
ただし、Big Techへの権力集中は深刻な問題だ
今回のMicrosoftの判断はあまりにもばかげている
Windowsの支持層が縮小している時期に、こうした行動は自分で自分を傷つけるようなものだ
しかし、この件が中央集権化の危険性に気づくきっかけになるかもしれない
AI自動化の時代だというのに、ログインひとつまともにできない
今ではAzureとAIしか見ていない企業になってしまった
関連記事: TechCrunchのWireGuard VPN開発者アカウント停止事件
HNスレッドでも議論されている
しかも一部の開発者には、この手続きについて何の通知も届いていなかった
The Registerの記事でMicrosoftの公式見解が出た
その資格が廃止されたことで、認定開発者のいないパートナーがまとめて整理されたようだ
「Microslop」がまたしても自社ブランドを傷つけている
これで人々がmacOSやLinuxへ移るかもしれない
Raspberry Pi 4(1GB RAM)でも問題なく動く
Docker ComposeとCaddyでHTTPSを設定し、cron + git pullでバックアップすれば十分だ
RustやPythonのテストも無理なく回せる
独占的なアプリストア構造こそが問題の根本だ
実際にOSを変えようとする人は多くない
そのため大衆的な移行は難しい
2007年製のQ6600 + Windows XPよりも遅い
自分のLinuxとMacではWireGuardは問題なく動いている
Microsoftは、こうした中核ソフトウェアの遮断が自社により大きな損害を与えることを分かっていないようだ
自動化ボットがアカウントを止め、解除しようとしても壁にぶつかるだけだ
Microsoft副社長Scott Hanselmanによれば、
今回の停止は「2024年4月以降にアカウント認証を完了していないパートナー」を自動でブロックしたものだという
だが実際には、**停止(suspension)というよりアカウント終了(termination)**に近い