Automatticはオープンソースを盗んだのか？

• AppleがSpotifyを脅威と見なし、不公正な措置を取っており、SpotifyがこれについてAppleを提訴したと仮定しよう。その報復として、Appleが次のような行動を取ったらどうだろうか？
  • Spotifyを開発者エコシステムから締め出し、App Storeでアプリ更新を不可能にする
  • Spotifyが必要な更新を提供できないため、「何らかの対応が必要だ」と宣言する
  • App StoreにあるSpotifyアプリの所有権をひそかにAppleへ移す
  • 無料アプリから有料機能へアップグレードする方法を削除するようコードを変更する
  • App StoreにいたSpotifyの既存ユーザーは、今やAppleのユーザーになる。App Store外のプラットフォームでSpotifyアプリを使うユーザーだけが、引き続きSpotifyユーザーとして残る
  • 公正性について問われると、App StoreチームはAppleとは独立して行動していると主張する
• もちろん、このようなことは決して起きないだろう。これは反競争的であるだけでなく、法的にも疑わしい
• しかしAppleをAutomatticに、App StoreをWordPress.orgに、Spotifyを最も人気のあるWordPressプラグインの1つに置き換えると、AutomatticのCEOが上記と似たことを仕組んだとして非難されている
• つまり、Automatticの最大の競合であるWP Engineが作ったAdvanced Custom Fields(ACF)というプラグインの所有権を奪ったということだ
• この事件は、Webオープンソースの歴史において前例のない恥ずべき出来事だ

AutomatticとWP Engineの企業紛争の要約

• AutomatticはオープンソースCMSのWordPressの制作元であり、WordPressはWebページの43%、CMSの65%を占めている
• WordPressが人気である理由は、寛容なGPLライセンス、強力なテーマ、多くのカスタマイズオプション、強いブランド、莫大な開発投資、そして20年間存在してきたことにある
• AutomatticはWordPressの背後にあるVC資金支援を受けた企業であり、プロジェクトへの最大の貢献者であり、商用WordPress商標を管理する企業でもある
• WP Engineは最も人気のあるマネージドWordPressホスティングサービスの有力企業で、年間売上は約$400Mと推定され、Automatticの年間売上は約$500Mである
• Automatticは2021年に$9.8億のベンチャー投資を受けて$75億の評価を受け、WP Engineは2018年にSilver Lake Partnersから$2.5億のプライベートエクイティ投資を受けた

AutomatticとWP Engineは全面的な企業紛争のさなかにあり、この2週間でAutomatticは次のような一連の攻撃を始めた:

• 侮辱/対抗措置: Automatticの公然たる侮辱に対し、WP Engineは停止命令で応じた
• 停止命令/順守: Automatticは商標権侵害を主張する停止命令を送り、WP Engineは商標使用をフェアユースに更新することで対応したようだ
• 遮断/解決: WordPress Foundation(WordPress.org)はWP EngineのWordPress.orgプラグインディレクトリへのアクセスを遮断し、WP EngineはWordPress.orgプラグインディレクトリに依存しない解決策を開発した
• 反訴: WP EngineはAutomatticを相手取って訴訟を起こし、「権力乱用、恐喝、強欲に関する事件」だと述べた。AutomatticがWordPress商標権が密かにAutomatticへ移転されていた事実を隠し、Automatticの行為がWP EngineとWordPressコミュニティに経済的損害を与えたと主張している
• WordPress.orgで遮断: WP Engineの訴訟はAutomatticとそのCEOを相手取ったものだが、WordPress.orgはWP Engineに関係するすべての人がサイトへアクセスし、プラグインを更新することを禁じた。WordPress.orgプラグインディレクトリは、大半のWordPressサイトがプラグインを更新する方法である
  > WordPress FoundationとAutomatticは完全に絡み合っており、WordPress FoundationはAutomatticの事業上の利益を代弁しているように見える。Automatticの創業者兼CEOであるMatt Mullenwegは最近、自分がWordPress.orgを個人的に所有していることを認めた。こうした複雑に絡んだ関係のため、この記事の残りではWordPress.orgやWordPress Foundationの行動も含め、Automatticを「行為主体」と呼ぶことにする。事業上の観点から見て、現在の出来事はAutomatticの利益によって動かされている。

WP Engineのプラグイン強奪論争

• 10月13日、AutomatticのCEOでありWordPress FoundationのオーナーでもあるMatt Mullenwegは、WordPress SlackでAdvanced Custom Fields(ACF)を「フォークする」と発表した
• これに対する反応は完全に否定的だった。発表文は次のように始まる:
  > 「WordPressセキュリティチームを代表して、私たちはプラグインディレクトリガイドライン第18項を発動し、Advanced Custom Fields(ACF)を新しいプラグインSecure Custom Fieldsへフォークすると発表します。SCFは商用アップセルを削除し、セキュリティ問題を修正するよう更新されました。」
• ACFプラグインはWP Engineが作った中で最も多くインストールされているプラグインであり、WordPressプラグイン全体でも28番目に人気がある
• Automatticはこの変更を「フォーク」だと主張しているが、実際にはそうではない:
  • Automatticにはこのプラグインをフォークする権利があり、実際にフォークもしたが、プラグインディレクトリ内で当該プラグインを置き換え、200万人を超えるACF顧客をこのフォークへひそかに移している
  • URLはそのままで、既存のレビューもそのまま残っている。この出来事を指摘するレビューは積極的に削除されている
  • 過去10年間にこのプラグインをインストールした200万人以上の顧客は、今や新しい所有者のもとに置かれることになる
• AppleとSpotifyの例に戻ると、まるでAppleがSpotifyのアプリと全ユーザーを「奪い取り」、Spotifyをエコシステムから締め出すようなものだ
• Automatticは停止命令の中で「WP EngineはWordPressにほとんど何も貢献していない」と主張したが、AutomatticはWP EngineによるWordPressへの貢献物であり、10年以上にわたって大成功を収めてきたプラグインを使う200万サイトを奪い取った
• Automatticの行動は、ある意味ではサプライチェーン攻撃にも似ている:
  • プラグインディレクトリ上で行為主体がプラグインをひそかに乗っ取り、公開せずに機能変更を配布すればサプライチェーン攻撃と見なされるが、ここではまさにその通りのことが起きた
  • AutomatticはACFプラグインの所有権を奪っただけでなく、顧客に知らせないまま小さなビジネスロジック変更を配布し、その結果として数百のサイトが壊れた
• Automatticの行動は、WP Engineの収益を減らすことを狙っているように見える:
  • Matt Mullenwegの発表には「商用アップセルを削除するために」という文言が含まれている
  • WP EngineはACF Proプラグインから相当の収益を上げている

WP Engineだけが唯一のエンタープライズ級WordPressホスティング提供者として残ったのか？

• WordPress.orgプラグインディレクトリを使うすべてのWordPress事業者は、Automattic自身が主導したサプライチェーン攻撃の一部になってしまった
  • 注目すべき例外はWP Engineだ。数週間前に遮断されたため、プラグイン更新にWordPress.orgプラグインディレクトリを使わない数少ないマネージド事業者の1つとなっている
  • その結果、WP Engineの顧客はACFプラグインのひそかな強奪を目にせずに済んだ
• この事件は、サプライチェーンセキュリティを重視する企業にとって悪夢のようなシナリオだ
  • Automatticは、望めばプラグインを乗っ取る用意があること、しかもほとんどテストせずにひそかな変更を配布することを示した
  • これは企業や政府組織がWordPress.orgプラグインディレクトリに依存するのは無責任だということを意味する
• 皮肉にもAutomatticは、WP Engineとの戦争の中で最大の競合にとって最高の広告を作ってしまったのかもしれない
  • WP Engineは、無断のプラグイン強奪に対して免疫があるという証拠を得た
  • ACFプラグインだけでなく、Nitropackなど複数のパッケージもWordPressプラグインディレクトリから更新を提出できなくなった。ただし、WP Engineの顧客は例外だ！

今後の見通し

• 2週間前、私はこの紛争がどう終わるかを推測していたが、AutomatticがWordPressプラグインマネージャーを使って他社のプラグインを奪い、200万人のユーザーを持っていくとは想像もしなかった
• Automatticは、自分自身やより広いWordPressエコシステムにどれほど損害を与えるかを気にしておらず、WordPress Foundationを使って自らのアジェンダを押し進めるだろう。その結果、次のようなことが起こり得る:
  • 企業や政府の顧客はWordPressへの移行に慎重になる
  • WordPressの競合が利益を得る
  • WP Engineはエンタープライズ事業の成長を狙う
  • Automatticはますます予測不能に見える
  • 大半のWordPressサイトには変化がない
• 残念ながらAutomatticは、WP Engineに打撃を与えるために、不文律ではあるが大切にされてきた倫理を捨てたように見える
  • しかし中立的なプラットフォーム(WordPressプラグインマネージャー)を活用することが、ビジネスで勝つ方法であってはならない
  • とりわけオープンソースでは、そうであってはならない
• もしMicrosoftがnpmで競合の人気パッケージを奪ったらどうなるか、考えてみてほしい
  • このような想像もできないことが起きれば、npmパッケージシステムへの信頼と利用率は急落し、Microsoft自身が大きなプレイヤーである以上、反トラスト規制当局が介入して処罰する可能性もある
• WP Engineは必ず法的防御に乗り出すだろうし、Automatticから市場シェアをさらに奪い続けるためには、文明的な態度で振る舞うこと以外に何もする必要がないだろう
• 私は、この紛争の当事者たちが落ち着き、公然の争いをやめることを望む。 相手を殴るたび確かに傷つけてはいるが、傍観者たちもますます大きな打撃を受けている
  • このドラマが長引くほど、中立的な観客は二度と戻らないつもりでWordPressを離れていくだろう
• 結果がどうであれ、AutomatticはオープンソースWebソフトウェアにおいて倫理的な一線を越えた最初の企業として永遠に記憶されるだろう
• 最大の競合を傷つけるために、別チームが積極的に保守しているプラグインを奪い、非営利財団を利用して事前に計画された攻撃を仕掛け、オープンソースの倫理を無視したからだ
• 「Automattic、今こそ公正に競争すべき時だ」

GN⁺の意見

• 今回のAutomatticの行動は、競合を傷つけるためにオープンソースの大切な倫理を投げ捨てたように見える
• これは、npmを所有するMicrosoftが競合の人気パッケージを奪ったらどうなるかを考えると理解しやすい。そのようなことが起きれば、npmへの信頼は急落するだろう
• WP Engineは法的対応に乗り出すだろうし、文明的な態度を保つだけでもAutomatticから市場シェアを奪い続けられるだろう
• この紛争の双方が落ち着き、公然の争いをやめることを望む。争いが長引くほど、中立的な観客はWordPressを離れていくだろう
• Automatticは今後、オープンソースWebソフトウェアにおいて倫理的な一線を越えた最初の企業として記憶されるだろう。最大の競合を傷つけるために、非営利財団を利用して事前に計画された攻撃を仕掛け、オープンソースの倫理を無視したからだ
• Automatticは今こそ公正に競争すべき時だ