WireGuard、VeraCrypt、MemTest86、Windscribeといった、Windowsユーザーにとって欠かせないオープンソースツールが、突然Windows向け更新の配信を停止せざるを得ない状況に追い込まれた。原因はMicrosoftのWindows Hardware Programにおけるアカウント停止——しかも、開発者には事前通知がなかったという。

何が起きたのか

VeraCryptの開発者Mounir Idrassiは、数年来使用していたWindowsドライバーおよびブートローダーの署名用アカウントが突然停止されたと報告した。メールも事前警告も一切なく、復活させる方法も示されなかったという。WireGuardのメンテナJason A. Donenfeld、Windscribeのチーム、MemTest86の開発者も同様の経験を共有し、週単位でMicrosoftサポートへの連絡を試みたものの、自動応答とボットのみが返ってきた、と口をそろえた。

Donenfeld氏は「もしWireGuardにクリティカルなRCE脆弱性が発見され、即座にユーザーへ更新を届ける必要がある状況だったらどうなっていたのか」と述べ、そのリスクの深刻さを指摘した。

Microsoftの説明

事態がTechCrunchに報道された後、MicrosoftのVP Scott HanselmanがSNSに登場し、停止の理由を明かした。「2024年4月以降にアカウント確認を完了していないパートナー全員に対して、2025年10月から確認を促すメールを送り続けていた。手続きを完了しなかったアカウントは自動停止となった」という説明だった。

公式ドキュメントによると、確認手続きは2025年10月16日に開始され、30日以内に完了しなければ自動停止となる仕組みだった。そして2026年3月30日時点で、未完了アカウントの停止が実行された。

MicrosoftのEVP Pavan Davuluri氏も「メール・バナー・リマインダーでパートナーへの周知に努めた。それでも見落としが起きることはある。今回をコミュニケーション改善の機会にしたい」とコメントした。Hanselmanが直接連絡を取り、各プロジェクトのアカウントは順次回復の方向に向かっているとのことだ。

実務への影響

今回の騒動は、OSSメンテナに限らずすべてのWindows Hardware Program参加者にとって示唆に富む。

確認すべき事項:

  • Windows Hardware Program(旧称: Windows Dev Center / Partner Center)のアカウントステータスを即座に確認する
  • パートナーセンターに登録している連絡先メールアドレスが、現在も受信・確認できる状態になっているかを検証する
  • ドライバー署名やハードウェア認定を行っている組織では、アカウント管理を特定個人に属人化させず、複数担当者でモニタリングする体制を整える

セキュリティ観点のリスク: Windowsのカーネルドライバーは署名が必須。セキュリティパッチを配信できない状態は、そのソフトウェアの既知脆弱性が放置されることを意味する。VPN・暗号化・RAM診断ツールといった、まさにセキュリティインフラに位置するソフトウェアが影響を受けた点は、事態の重みを物語っている。

筆者の見解

Microsoftが「通知はした」と説明する一方、WireGuardやVeraCryptといった第一線のOSSメンテナが一様に「知らなかった」と証言する。このギャップは、単なるコミュニケーション不足というよりも、通知設計そのものの問題だと見るべきだろう。

OSSメンテナはボランティアベースで動いていることが多く、企業の調達担当者のようにポータルを日常的に監視するわけではない。「メール・バナー・リマインダーを送った」という事実が、「届いた」「理解された」「行動できた」を意味しないことは、UXの基本中の基本だ。

Microsoftにはこの問題を正面から勝負できる力がある。Partner Centerのインフラ、通知システム、有人サポートへのエスカレーションパス——どれも整備できるはずだ。今回のように「SNSが炎上してようやく人間が出てきた」という構図は、もったいない。ガバナンスへの信頼を自らすり減らすことになる。

セキュリティ上の理由からドライバー署名の厳格化を進めること自体は正しい方向だ。ただ、その手続きが厳格になればなるほど、移行の設計も同じ水準で丁寧でなければならない。今回の件が、そのバランスを見直す契機になることを期待したい。

社会インフラに近いOSSプロジェクトのアップデートが、プラットフォームの手続き不備によって止まるリスクは、OSSコミュニティ全体の課題でもある。自分が利用・依存しているツールのサプライチェーンが、今日もちゃんと機能しているかを意識するきっかけにしてほしい。

出典: この記事は Microsoft suspends dev accounts for high-profile open source projects の内容をもとに、筆者の見解を加えて独自に執筆したものです。