Microsoftは、2人の有名なオープンソース開発者が突然アカウントからロックアウトされ、アップデートへの署名ができなくなったため、開発者とのコミュニケーション方法を改善すると述べた。
暗号化ツールVeraCryptとVPN通信ツールWireGuardの開発者であるMounir IdrassiとJason Donenfeld両名は、最近、Microsoftが理由不明でそれぞれの開発者アカウントをロックしたと報告した。
Idrassiは3月30日に自分の経験を公開し、以下のように述べた。「Microsoftからはメールや事前警告がまったく送られてこなかった。終了の理由についての説明を受けておらず、彼らのメッセージでは異議申し立てができないことが示唆されている。
「様々なチャネルを通じてMicrosoftに連絡を試みたが、自動応答とボットからの返信しか受け取っていない。人間に到達することができなかった。」
The Registerに今週語った同開発者は、Microsoftからはまだ何の連絡も受けていないと述べた。
このロックアウトはVeraCryptの開発企業であるIDRIXに関連付けられた開発者アカウントに影響を与えた。IDRIXは暗号化ユーティリティ以外にも複数のプロジェクトを扱っている。
「ハードウェアダッシュボード経由でVeraCryptドライバとVeraCryptブートローダに署名することができない。これは異なるプロジェクトで顧客向けドライバコンポーネントに署名することも防ぐため、この状況はVeraCrypt以外の私の仕事にも影響している」と彼は述べた。
Donenfeld氏の場合も似ており、Microsoftがアカウントアクセスを取り消した理由について彼に通知していなかったとも主張している。
「全く警告がなく、通知もない」と彼はHacker Newsに書いた。「ある日、アップデートを公開するためにサインインしたら、びっくり、アカウントが停止されていた。」
彼はサイバーセキュリティについての懸念も表明した。WireGuardチームが脆弱性を検出した場合、アップデートに署名する方法がないだろう。
「Hacker Newsのある人が指摘したように、もし誰かが悪意のある行為者なら、今がWireGuardのゼロデイを悪用し始めるのに良い時期だろう。つまり、願わくばWireGuardにゼロデイがないことを望むが。もしあったら、大変なことだ!」
Donenfeld氏はThe Registerに、彼の問題は約2週間前から始まったと述べた。それはWireGuardユーザーアプリケーションとカーネルドライバの改善に数週間取り組んだ後で、後者のインフラを再構築してWindows Hardware Lab Kit(WHLK)テストスイートに合格させるためのもので、彼はそれを「素晴らしいプロジェクト」だが「非常に大変」だったと述べた。
「WHLKパッケージの準備ができたので、新しい非常に高価なEVコード署名証明書を取得した。このMicrosoftの要件はそれ自体が一種の詐欺だ。そしてパートナーポータルにログインして、署名されたWHLKパッケージとドライバをMicrosoftに提出して自動検査を受けるほど準備ができていた。通常、カーネルにドライバをロードするために必要なMicrosoft署名が得られる。」と彼は述べた。
しかし、彼はアカウントが無効になったというメッセージに出会った。
WireGuardのJason Donenfeld氏へのアカウント無効化を知らせるMicrosoftのメッセージ
「Microsoftから一切通知を受けなかった」とDonenfeld氏は加えた。「すべてのメールボックス、スパムフォルダ、メールログを調べたが、ゼロ、何もない、全然ない。」
異議申し立てプロセスはDonenfeld氏をAIサポートチケットツールに向けたが、このツールではアカウントが無効化されているため、異議申し立てが関連する職場を選択することができなかった。
これにより、彼がいわゆるキャッチ22のシナリオが発生した。つまり、アカウントを復旧するためには異議申し立てを提出する必要があるが、異議申し立てを提出するにはアカウントが必要だったのだ。
最終的に見つけた回避策は、関連のないもの向けにAzureチームを通じて異議申し立てを提出し、それを適切なチームにリダイレクトさせることだった。
「ついに今週、Microsoftで働いている友人に催促した後、そのブログ記事の著者にメールを送った後、いくつかの情報が漏れ始めた」とDonenfeld氏はメールで述べた。「彼らは異議申し立てを受け取った。60日かかる。私が実際の人間であり、実際のプロジェクト(Microsoftが使用しているようだ!)を持っていることについて、いかなる圧力や保証も処理を加速させない。60日だ。例外はない。
「ちなみに、彼らは異議申し立てに必要なドキュメンテーションについては記載していなかったので、私は推測するしかない。つまり、60日後、彼らはそれを否定することもできるし、私は困ることになるかもしれない。
「Microsoftのビジネス利益に反していると思ったので、[Microsoftの倫理基準部門]にメールを送った。しかし彼らはそれが重要ではないと考え、代わりに執行支援チームに私を紹介した。彼らは昨日、適切な人々が実際に私の異議申し立てを受け取ったことを告げた(以前は確認がなかった)。しかし、それを処理するためにできることはなく、それがいつ/どのように処理されるかについての洞察もない。完全に不透明だ。」
Microsoftの対応
MicrosoftのWindowsとデバイス部門の社長であるPavan Davuluri氏は、IdrassiとDonenfeld両氏のアカウントが「すぐに」復旧されるべきだと述べた。
「これらの報告を確認し、できるだけ早く解決するために積極的に取り組んでいます」と、Davuluri氏はXに投稿した。「VeraCryptに連絡を取り、WireGuardのJasonと話し合いました。すぐに稼働状態に戻るはずです。」
彼は、両方の無効化はWindows Hardware Programのアカウント検証手順の一部として実行されたと説明した。
会社は10月にブログを公開し、アカウントが2024年4月以降検証されていない開発者に対して、Microsoftが強制的なアカウント検証通知を発行すると2週間の警告を与えた。
「メール、バナー、リマインダーなど、パートナーがこれが来ることを理解するために努力しました」と、Davuluri氏は述べた。
「そして時々、物事が見逃されることもあります。私たちはこれをこのような変更についてどのようにコミュニケーションするかを見直し、よりうまくやることを確認する機会と見なしています。」
アカウントの復旧に関する支援を探している他の人には、救いの手となるのはCopilotだ。Davuluri氏は、同じような立場にある人々に、彼らが取ることができるステップを概説するサポートページを指す。
Davuluri氏のソーシャルメディア投稿以来、Donenfeld氏はThe Registerに、彼のアカウントが復旧され、木曜日の朝の時点でカーネルドライバのアップデートを公開できたと確認した。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/09/microsoft_dev_account_deactivations/
