ハクソク

世界を動かす技術を、日本語で。

マイクロソフトがVeraCryptアカウントを突然終了、Windowsアップデートを停止

32日前原文(404media.co)

概要

  • VeraCrypt 開発者のアカウントが Microsoft により停止
  • 今後の Windows向けアップデート に不透明感
  • オープンソースソフトウェア のサプライチェーンの脆弱性が浮き彫り
  • 大手テック企業 に依存するリスク
  • VeraCryptコミュニティへの影響

VeraCryptの今後に暗雲、Microsoftによるアカウント停止

  • VeraCrypt は広く利用されている 暗号化ソフトウェア
  • Microsoft がVeraCrypt関連のアカウントを 予告なく停止
  • この措置により、 今後のWindows向けアップデート の提供が困難となる可能性
  • 開発者が 404 Media に対し、状況を説明
  • オープンソース開発 におけるサプライチェーン管理の難しさを象徴
  • 大手テック企業 への依存が、プロジェクトの継続性に影響を及ぼす事例
  • VeraCryptユーザーやコミュニティにとって 今後の対応が注目点

オープンソースとサプライチェーンの課題

  • オープンソースソフトウェア は多くの場合、 大手企業のインフラ やサービスに依存
  • 例えば、 Microsoft のアカウントやストアを通じて配信や認証を行うケース
  • アカウント停止などの一方的な措置が、 アップデート配信やサポート に直結するリスク
  • サプライチェーンのどこかで問題が起こると、 ユーザー全体への影響 が大きい
  • 今回の事例は、 信頼性確保やリスク分散 の重要性を再認識させるもの

VeraCryptユーザーへの影響と今後の展望

  • Windowsユーザー は今後のアップデート提供に 不安
  • 開発者やコミュニティによる 代替手段の模索 が必要
  • オープンソースプロジェクト の継続には、 多様な配信経路や認証手段 の確保が課題
  • 透明性の高い運営 と、 大手企業依存からの脱却 が今後のテーマ
  • VeraCryptの今後の動向に、 セキュリティ業界全体が注目

Hackerたちの意見

https://news.ycombinator.com/item?id=47686549

ありがとう、前のタイトルは見逃しやすかったね。「Veracryptプロジェクトのアップデート」ってやつ。

へへ、君のセキュアブートチェーンを管理してる会社が、ディスクを暗号化するツールの署名アカウントを殺しちゃったんだね。

最近みんなが「マイクロスロップ」って呼ぶのには理由があるよ。早くこのクソ会社から離れられるといいな。今や彼らはテック業界の足を引っ張ってるから。

彼らはもう何十年もテック業界を妨げてるよね。

何年も前にPOSIXやシェルの文法を学んで、ターミナルで作業してたのを思い出す。ウィンドウズへの愛がリアルタイムで崩れていく感じだった。今ウィンドウズを使うと、シャワーを浴びたくなる。多くの人と同じように、私はウィンドウズで育ったし、家庭用のOSとして20年くらい使ってた。初めてMacのトラックパッドを触ったとき、そのハードウェア体験が「ウィンドウズが最高」っていう考えを崩す最初の柱になった。その後、コーディングにハマって、ボーイングの奴隷労働からSQLの仕事に転職した(年収55%減ったけど、後悔はしてないよ)。オープンソースの世界を知って、ウィンドウズの外でどれだけの計算が行われているか、そしてどれだけの優秀な人たちがマイクロソフトに貢献していないかを学んだ。今ではLinuxとmacOSのマシンがあちこちにあって、まだ底は見つけてないけど、ここ6〜7年は本当に豊かな旅だった。今は86boxで32ビットのWin XP環境を立ち上げて、古いVisual Studio .NET 7でプロジェクトをコンパイルしてる(詳しくは聞かないで)。そこにいるのは本当にワイルドで、タイムマシンに乗り込んだような感じ。ノスタルジーは置いといて、OSはほとんど静か。邪魔されることもないし、すべてが予想通りの場所にある。スタートメニューに雑音もないし、エクスプローラーにオメガなBingのネットワークコールスタックもない。O365に人生をアップグレードするようなプロンプトもない。ちょっと悲しいけど、あの時代は素晴らしかった。今はウィンドウズで意味のある作業をするのが本当に面倒。今はC/C++をアホみたいなやり方でやってる(私の話はいつも普通じゃない、ため息)。22年前のレガシープロジェクトを選んで取り組んでる。これで古いRed Hat 7.1+ICC5や、さっき言った古いWindows XP + .NET 7に戻ることになった。ここに飛び込むのは本当に非実用的なアプローチだけど、ひとつだけ確実に感じることがある:マイクロソフトは常にすべてを金儲けの手段にしようとしてる。ツール?お金。ベンダーロック。OS?お金。ベンダーロック。産業全体や教育システムの捕獲?たくさんのお金。たくさんのベンダーロック。世代間の知識のロックも。人々がまだGitHubを使ってるのは運がいい。彼らは何度かクマを刺激しようとして、少しずつだけど確実にその場所をダメにしてる。マイクロソフトに対する敬意を失いつつある。マイクロソフトはしばらく大きかったけど、彼らには時代があった。裏で働く賢いビジョナリーエンジニアたちが推進するものと、純粋にスロップモードのマイクロサービスで「金持ちになるか死ぬか」なモードのものがあるのがわかる。そう、マイクロソフトは常にベンダーロックに攻撃的で、ちょっと敵対的だけど、今のマイクロソフトは過去最悪だよ。見てみて:Microsoft Teams(「毎日Teamsを使ってるけど、問題ないよ」って言う前に)。私より賢い人たちが「ウィンドウズがXのことにおいて最高な理由」を語ることができるのは知ってるけど、私のプロの仕事でLinux、macOS、ウィンドウズの3つを使わざるを得なかった経験からしか情報を得てない。ウィンドウズが最高だと思って育ったけど、今はウィンドウズが実際には最悪だと自信を持って言える。かなりの差でね。ずっとガスライトされてた。

そうだね、私たちのETLインフラをSSIS/SQL ServerからPython/PostgreSQLに完全に移行中だよ。次のステップはOffice 365で、もっと難しいけど、小さな会社だからなんとかなる。

仕事以外では、ほとんどWindowsを使わないんだよね。2017年製のマイクロソフトのノートパソコンを持ってるけど、理由もなくめっちゃ遅いんだよ。ほんと、超普通のやつなのに。

Appleは多くの面でテック業界の足を引っ張ってるよね。どの会社も進歩より利益を優先してるみたい。

いつか一般の人々が、実行可能な署名やセキュアブートが、普通の人が実行できるものを制御するために特に設計されていることに気づいてくれることを願ってる。これらの「緩和策」の前提は、個人用コンピュータには全く意味がない。

実行可能な署名についてはわからないけど、組み込みの世界ではセキュアブートも顧客のために使われてる。つまり、顧客が受け取るデバイスのファームウェアが供給チェーンのどこかで改ざんされていないことを保証するためだよ。

みんながAsk Jeevesのツールバーをあちこちにインストールしなければ、バカ孫に休暇中にパソコンを掃除してくれって頼むこともなかったのにね。

それに、WireGuardのクリエイターのアカウントも停止されたってことも気づくべきだったね。

そうそう、記事の中でさらに詳しく書いてあったよ: 「Hacker Newsの投稿によると、人気のVPNクライアントWireGuardも同じ問題に直面している。」

だからこそ、プラットフォームの所有者にどのソフトウェアが私たちのデバイスで動くかを決めさせるわけにはいかないんだ。おばあちゃんの安全を確保するために重要だとされるソフトウェアの署名は、歪んだインセンティブなしで独立した第三者に委ねるべきだよ。これがデジタル市場法が開発者を守るためにある理由なんだ。EUのAppleに対する調査について何かニュースあった?最後に聞いたときは、まだ署名と手数料の収集スキームを見直しているところだったと思う。

1年前、Windows用のFOSSソフトウェアにAzure Trusted Signingを使ってコードサインしてたんだ。それがそのプラットフォームで無料ソフトを配布する一番安い方法だった。数ヶ月前に証明書が切れたから更新が必要になったんだけど、ここで著者と同じ問題にぶつかったんだ - 検証に失敗して、どんな書類も受け付けてくれなかった。ほんとイライラしたよ。人間のサポートも全くなかったし、使いたいと思ってお金も払うつもりだったのに!結局、https://signpath.orgから証明書のソースを取得して、それ以来ずっと感謝してる。