VeraCrypt・WireGuard、MSがアカウント停止

暗号化ソフトやVPNの開発者が、ある日突然Windowsへのソフトウェア配信ができなくなる。そんな事態が現実に起きている。

アカウント停止は1月から始まっていた

ディスク暗号化ソフトVeraCryptの開発者Mounir Idrassiは3月30日、SourceForgeのフォーラムに投稿した。長年Windowsドライバーとブートローダーの署名に使ってきたMicrosoft Partner Centerのアカウントが、突然停止されたという報告だ。

事前の警告メールは一切なかった。ログインしようとしたところ「組織が現在の認証要件を満たしていない」というメッセージが表示され、理由の説明もなければ異議申し立ての手段もないと告げられた。

Microsoftからメールも事前警告も一切なかった。停止の理由について何の説明も受けていないし、彼らのメッセージには異議申し立ては不可能だと書かれている。

アカウントが切られたのは今年1月中旬。Idrassiが数か月ほど沈黙していたのはこれが理由だった。問題はVeraCryptだけにとどまらない。VPNプロトコルWireGuardの開発者Jason Donenfeldも、ほぼ同じ状況に陥っていた。

WireGuardの大型アップデートが宙に浮く

DonenfeldはHacker Newsへの投稿で、自身の状況を詳しく説明している。WireGuard for Windowsの最後の安定版0.5.3は2022年7月にリリースされたきりで、今回は約4年ぶりとなる大型アップデートを準備していた。バグ修正、新機能追加、ツールチェーンの近代化──作業は終わっており、あとはMicrosoftにドライバー署名を依頼してリリースするだけだった。

ところが署名のために開発者ポータルへログインしようとしたところ、「アクセス制限」のエラーが表示された。

Donenfeldは身分証による本人確認手続きを実行し、第三者の認証業者からは「verified（確認済み）」の判定を受けた。にもかかわらず、Partner Centerへのアクセスは復旧しなかった。

Microsoftのウェブサイトを調べると、「2024年4月以降に本人確認を完了していないWindows Hardware Programの全パートナーに対して、必須の認証手続きを実施している」という記述が見つかった。確認期限を過ぎたアカウントは自動停止される運用だ。問題は、その通知メールがDonenfeldのもとには届いていなかったこと。受信箱、迷惑メールフォルダ、メールログまで確認したが、該当するものは何もなかったという。

脆弱性が出ても修正を配信できない

この状況が持つ意味を、Donenfeldは端的に表現している。

もし今クリティカルなリモートコード実行の脆弱性が見つかって、野放しで悪用されていたら──あくまで仮の話だが──ユーザーは完全に無防備な状態に晒されることになる。

セキュリティソフトウェアの開発者が、脆弱性を修正したくても修正を配信できない。この状況がユーザーにとって何を意味するかは明らかだ。WireGuardはMullvad、ProtonVPN、Tailscaleなど多くの商用VPNサービスの基盤として採用されており、その影響範囲は数千万人規模のユーザーに及ぶ。

Donenfeldは現在、60日間の異議申し立てプロセスに入っているが、結果は出ていない。

VPNベンダーWindscribeも被害に

VPNサービスを提供するWindscribeも、同様の事態に直面している。同社は8年以上にわたって認証済みのパートナーアカウントを保有し、ドライバー署名に使ってきた。しかし今回そのアカウントも停止された。

「1か月以上解決しようとしているが、どこにも進まない。サポートは存在しないも同然だ。Microsoftで頭がまともに機能する人間を知っている人はいないか」──Windscribeの担当者はそう訴えている。

ボットしか応答しないサポート体制

VeraCryptのIdrassiも、Microsoftに連絡を取ろうと複数のチャネルを試みた。返ってくるのはAI生成と思われる自動応答ばかりで、人間の担当者にたどり着くことは一度もできなかった。彼はこの体験を「フラストレーションが溜まる」「非人間的」と表現している。

状況をさらに深刻にしているのは、証明書の有効期限だ。CyberInsiderの報道によれば、現在のドライバー署名は早ければ2026年6月下旬にも失効する見込みで、その後はSecure Boot環境のシステムでドライバー読み込みに失敗したり、起動不能に陥る可能性がある。VeraCryptユーザーの場合、暗号化されたシステムパーティションに影響が出る恐れがある。

マイクロソフト社員が表に出てきた

事態が動いたのは4月8日。Microsoftの著名なデベロッパーアドボケイトScott Hanselmanが、自身のXアカウントで公開コメントを発表した。

私は会社をネタにするのが大好きな人間の一人だが、メールを確認してアカウントを認証するだけで済む話というのもある。VeraCryptには個人的にメールを送ったし、ブロック解除に向けて動いている。WireGuardのJasonとも既に話した。

Hanselmanによれば、Microsoftは2025年10月以降、Windows Hardware Programの全パートナーに認証手続きを促すメールを送り続けていたという。「すぐに直るはずだ」とも述べている。

ただしこの発言は、開発者側から「届いていない」と訴えられている通知メールが本当に送られていたのか、送信先のアドレスは正しかったのか、という疑問への答えにはなっていない。送ったつもりが届いていないなら、システムのどこかが壊れている。

根本問題は解決していない

仮にVeraCryptとWireGuardが今回救済されたとしても、構造的な課題は残ったままだ。

通知の届かないポリシー変更、自動停止、サポートには到達不能、異議申し立てに60日──このパイプラインに乗せられた小規模な開発者や「望ましくない」とみなされたプロジェクトが、VeraCryptやWireGuardのように著名人の介入で救われる保証はどこにもない。

Hacker Newsのスレッドでは「Microsoft、Google、Appleといった企業は公益事業として規制されるべきだ」という声が上がっている。ドライバー署名の独占権を持つ以上、それに見合った責任を負わせるべきだという議論だ。

世界中のセキュリティソフトウェアが、たった一社のプラットフォームポリシーによって更新不能になりうる。VeraCryptとWireGuardの一件は、今のWindowsエコシステムがそういう構造の上に立っていることを思い出させる出来事だった。

参照元

• VeraCrypt公式フォーラム - Project Update（Mounir IDRASSI）

他参照

• TechCrunch - WireGuard VPN developer can't ship software updates after Microsoft locks account
• CyberInsider - Microsoft suspends VeraCrypt and WireGuard signing accounts
• Hacker News - WireGuard同問題に関するDonenfeldのコメント

関連記事

• Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
• KB5086672がインストールできない不具合と対処法
• Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
• Windows 11、24H2ユーザーに25H2への強制アップデートを開始
• Teamsの「外部デバイス連携」が6月末で完全終了――影響範囲は想像以上に広い
• Windowsセキュリティに「セキュアブート」警告が表示される理由と、6月の期限前に知っておくべきこと
• イランのサイバー部隊がStrykerを壊滅させた手口と、FBIが学んだ教訓
• PowerShell 7.6 遅延の真相：Microsoftが公式に認めた6つの失敗
• Windows 11のセキュアブート更新が失敗する――CA-2023が暴いたファームウェアの構造的欠陥
• Windows認証の「時限爆弾」――4月のKerberos変更で何が壊れるのか