Microsoft は、広く使用されているオープンソース VPN テクノロジである WireGuard の責任者である Jason Donenfeld の開発者アカウントをロックしたばかりです。これにより、ドライバーに署名し、Windows を使用しているユーザーにアップデートを配布する能力が失われてしまいました。このロックアウトにより、解決に向けた明確なタイムラインが示されず、何百万人ものユーザーが潜在的なセキュリティ上のギャップにさらされたままになります。
ドネンフェルド問題を確認しましたTechCrunchに、これが生み出す危険性について警告した。同氏の声明によれば、現時点では存在しないものの、長期的に重大な脆弱性が表面化した場合、ユーザーは確実に被害を受けるだろうという。
WireGuard は、インターネットで最も信頼できるセキュリティ インフラストラクチャの一部を強化しています。 Proton VPN、Tailscale、Mullvad はすべてそのコードに基づいて構築されています。そのシンプルさと強力なセキュリティ実績により、世界中の無数の商用 VPN サービスのバックボーンとなっています。開発者アカウントのロックアウトは、Microsoft 側にとっては日常的なことのように見えても、このエコシステムに深刻な結果をもたらします。
Microsoft の Windows ハードウェア プログラムは最近、すべての登録開発者に政府発行の ID をアップロードすることを義務付けるアカウント認証の義務化を完了しました。このプログラムは、2024 年 4 月以降に認証を完了していないパートナーを対象としていました。期限を逃した開発者は、警告なしにアカウントを停止されました。
ドネンフェルドさんは期限が存在することを知らなかった。 Microsoft は彼に何も送信しませんでした。電子メールもアラートも、いかなる種類の通知もありません。 「すべての受信箱、すべてのスパムフォルダー、すべてのメールログを調べましたが、ゼロ、何も、ゼロです」と彼は言いました。
彼がこのポリシーを知ったのは、Microsoft の Web サイトに埋め込まれているページに偶然出会った後でした。その時までに、検証ウィンドウはすでに閉じられていました。彼のアカウントは停止され、到着時には保留中の WireGuard アップデートを Windows ユーザーにプッシュする機能が失われていました。
対照的に、Google の最近のプライバシー ポリシーの更新Chrome 拡張機能ユーザーのデータ管理を強化し、追加のプライバシー保護を導入することに重点を置き、開発者の検証よりもユーザーの透明性を優先するプラットフォーム ガバナンスへの異なるアプローチを示しています。
彼は、WireGuard の Windows コードを最新化するのに数週間を費やし、「アクセス制限」エラーによってすべてが停止したとき、Microsoft のチェックに提出する準備ができていました。
ドネンフェルド氏は、Microsoft 独自の検証プロセスを通じて状況を解決しようと試み、Microsoft が使用しているサードパーティ サービスによる ID チェックを完了しました。そのサービスで彼の身元が確認されました。 Microsoftは依然として彼のアクセスを停止したままだった。
彼の訴訟は最終的に、注目を集めるアカウントの問題を扱う Microsoft のエグゼクティブ サポート チームに届きましたが、そのチームは審査プロセスに最大 60 日かかる可能性があると彼に告げました。
被害者は WireGuard だけではない
WireGuard のロックアウトは特別なケースではありません。 Microsoft の一連の検証により、他の大手開発者も同じ罠に陥っています。
ファイルやオペレーティング システム全体の暗号化に数十万のユーザーが依存している暗号化ソフトウェア VeraCrypt も、同じ運命をたどりました。その開発者であるMounir Idrassi氏はTechCrunchに対し、Microsoftが事前の通知なしに同氏のアカウントをロックアウトしたと語った。
彼の状況はさらに深刻で、ロックアウトにより重要な認証局の有効期限が切れる前に VeraCrypt を更新できなくなります。その有効期限が切れると、一部のユーザーはシステムを完全に起動できなくなる可能性があると同氏は警告した。
VPN および消費者プライバシー ツールを提供する Windscribe も、8 年以上認証済みアカウントを保持していたにもかかわらず、Microsoft が自社をパートナー センター アカウントからロックアウトしていたことを認めました。
Windscribe on X によると、彼らは 1 か月以上にわたってこの問題の解決を試みましたが、すべて無駄でした。サポートは存在しません。 「マイクロソフトで今も働いていて、助けてくれる頭脳を持った人間を知っている人はいますか?」ウィンドスクライブは尋ねた。
Windows ハードウェア プログラムは正当な理由により存在します。ドライバーはオペレーティング システムの中核機能への膨大なアクセス権を持ち、ハッカーは歴史的にドライバーをシステム侵入に悪用してきました。ドライバーの公開を精査された開発者に制限することは、ポリシーとしては理にかなっています。ただし、警告なしにアカウントを停止すると、Windows ユーザーの安全を守る開発者そのものが損なわれてしまいます。
部分的な解決は見られるが、被害は残る
水曜日遅くまでに、ドネンフェルドさんの事件は動きの兆しを見せた。同氏はTechCrunchに対し、Microsoftがついに連絡を取り、解決は手の届くところにあるようだと語った。しかし、TechCrunchが連絡を取ったとき、Microsoftはパブリックコメントを提供しなかった。
しかし、より広範な被害は依然として残っている。複数の注目度の高いオープンソース プロジェクトでは、数週間にわたる更新機能が失われ、ユーザーはその期間中にパッチを受け取ることができなくなりました。 Microsoft のサイレント・スイープは、これらのツールに毎日依存している何百万もの Windows ユーザーのセキュリティよりも、コンプライアンスに関する書類作成を優先しました。
この影響は特に WireGuard ユーザーにとって重大です。プロトコルの速度の利点パフォーマンスを犠牲にしたくない、プライバシーを重視するユーザーに好まれる選択肢となっており、アップデートが遅れると、これらのユーザーが脆弱なままになる可能性があります。
ドネンフェルドとより広範なオープンソース コミュニティにとって、このエピソードは脆弱な現実を強調しています。ポリシー変更が 1 件、電子メールが 1 件見逃され、検証ウィンドウが 1 件閉じられ、重要なソフトウェアが動作を停止します。