アメリカのIT大手マイクロソフトが、広く利用されているVPNソフトウェア「WireGuard」の開発者のアカウントを一時停止し、Windows向けのソフトウェア更新ができない状態になっていることが明らかになりました。同様の事態は他のソフトウェア開発者にも起きており、影響が広がっているということです。
WireGuardの開発者であるジェイソン・ドーネンフェルド氏によりますと、マイクロソフトの開発者アカウントにログインできず、Windowsユーザー向けのドライバー署名や更新プログラムの配信ができない状態になっているということです。ドーネンフェルド氏は、アカウントの停止により、準備していた更新プログラムの配信が見送られたとしています。
こうした事態は、他のオープンソースプロジェクトでも確認されています。暗号化ソフトウェア「VeraCrypt」の開発者も同様にアカウントから締め出されたとしており、重要な証明書の更新に間に合わず、一部のユーザーがシステムを起動できなくなるおそれがあるとしています。
原因について、ドーネンフェルド氏によりますと、マイクロソフトのウェブサイトには、2024年4月以降にアカウント認証を完了していないすべてのパートナーに対し、必須の認証を実施したと記載されていたということです。しかし、この認証プログラムはすでに終了しており、身分証明書などの書類を提出していないアカウントは一時停止の措置が取られました。
マイクロソフトは、Windowsのシステムに深いアクセス権を持つドライバーが悪用されるのを防ぎ、安全性を確保するため、開発者の身元確認を厳格化する方針です。一方で、ドーネンフェルド氏やVeraCryptの開発者は、この認証に関する事前の通知は一切受け取っていないと主張しています。
ドーネンフェルド氏は、「仮に今、重大な脆弱性が見つかった場合、ユーザーを危険にさらすことになる」と懸念を示しています。また、VPNサービスを提供する「Windscribe」も同様の問題に直面しており、1か月以上にわたって解決を試みているものの、十分なサポートが得られていないということです。
なお、ドーネンフェルド氏については、その後マイクロソフト側と連絡が取れ、問題が近く解決する見通しだということです。マイクロソフトはこの件に関するコメントを控えています。