1 ポイント 投稿者 GN⁺ 2025-05-17 | 1件のコメント | WhatsAppで共有
  • Vatesは、年間売上約1億3,000万ドル規模の準政府系宇宙企業が、Xen Orchestra Applianceの無料トライアルを10年近く繰り返し利用していた事例を公開した
  • この組織は数百台の物理ホストと約4,000台のVMを運用し、ITスタックのかなりの部分をVatesプラットフォーム上に載せていたが、有料顧客でもソースからインストールする無料ユーザーでもなかった
  • 繰り返しのトライアルは2015年4月に企業メールで始まり、その後は個人のOutlook・Gmailアドレスやjohndoe01johndoe02のような連番アカウントへと続き、毎回同じ会社名を入力していた
  • Xen Orchestraはソースからインストールすればすべての機能を無料で使えるが、XOAはテスト済みの事前構成VMとワンクリックアップデート、サポートと安定性を提供する有料製品である
  • Vatesは、このようなtrial farmingがオープンソースの持続可能性を揺るがすと見ており、正直な利用者を妨げない範囲で、より賢いトライアル制限を検討する可能性がある

10年間繰り返された Xen Orchestra Appliance のトライアル利用

  • Vatesは、オープンソースプロジェクトの維持負担や、AIベースの偽の貢献・セキュリティレポートの増加を背景に、今回の事例を紹介した
  • 問題の組織は準政府系の企業で、年間売上は約1億3,000万ドル、宇宙関連の高価な機器を製造・運用している
  • この組織は数百台の物理ホストとほぼ4,000台のVMを保有し、ITスタックのかなりの部分をVatesプラットフォーム上で動かしている
  • しかし有料顧客ではなく、完全なオープンソース版をソースから直接利用していたわけでもなかった

XOA と無料のソースインストールの違い

  • この組織が繰り返しトライアルしていた製品は**Xen Orchestra Appliance(XOA)**である
    • Xen Orchestraが事前インストールされたターンキー仮想マシン
    • 定期的にテストされる
    • 配備と更新が容易
    • 完全なオンプレミス方式で動作する
    • 本番環境でmasterブランチにgit pullする運用を望まないチーム向けの、サポート付きで安定化された体験である
  • 無料ユーザーはドキュメントに従ってソースからビルドし、すべての機能を無料で利用できる
    • 安定性の保証や専門的なサポートはない
    • 機能自体はすべて提供される
  • Vatesが販売しているのは機能へのアクセス権ではなく、テスト済みの事前パッケージ化VM、ワンクリックアップデート、時間の節約、リスクの低減、そしてサポート体験である

企業メールから個人メールへ続いたアカウントパターン

  • 繰り返しのトライアルは2015年4月に始まった
  • 当初は企業メールで無料トライアルを申請していた
    • 1件か2件ずつ現れ、最初は不審ではなかった
    • 時間が経つにつれ、開発者、システム管理者、マネージャーなど複数のアカウントが積み上がっていった
  • その後、企業メールを使い切ると個人のOutlookまたはGmailアドレスを使うようになった
    • 実在する個人メールで新たな30日間トライアルを開始した
    • johndoe01@outlook.comjohndoe02@outlook.comのようにハンドルを連番で増やしていった
    • 現在はjohndoe60を大きく超えている状態である
  • 登録フォームでは会社名は必須項目ではないが、毎回同じ会社名を入力していた

サポートを受けた後も続いた回避行為

  • Vatesは、評価ユーザーに対するときと同様にこの組織を支援していた
    • 質問に回答した
    • 利用方針を案内した
    • 当初の「テスト中であり、購入を検討するかもしれない」という状況では、ほぼ1日をサポートに費やした
  • 時間が経つにつれ、似たような質問と設定が繰り返され、記録を検索した結果、同じ組織に結び付く別アカウントが少なくとも60件確認された
  • Vatesが連絡すると、その組織は曖昧に謝罪し、ソース版へ移行すると回答した
  • 専門サポートやボリュームディスカウントの可能性には関心を示さず、その後も実際にはソース版へ移行しなかった
  • その代わりに、個人のOutlookアドレスと連番メールハンドルを使い、無料トライアルを継続して申請した

オープンソースの持続可能性と今後の制限

  • この状況は、セルフホスティングできない一般的なSaaSを回避する事例とは異なる
    • Xen Orchestraはすべてを無料でセルフホストできる
    • 機能制限はなく、アップグレード体験がXOAほど便利ではないだけである
  • 短いドキュメントを読んでいくつかのコマンドを入力する代わりに、トライアルアカウントを繰り返し作成した点は、XOAの利便性の価値も示している
  • 同じ組織は過去10年間、個人のOutlook・Gmailアカウントで無料トライアルを繰り返し申請しながら、実際の会社名を入力し続けていた
  • このような行動は、オープンソースを持続可能にする基盤を弱体化させる
  • 今後、trial farmingを防ぐための、より賢い制限が導入される可能性がある
    • 正直な利用者を妨げるための措置ではない
    • エネルギーをソフトウェア開発、実際のユーザー支援、オープンソースの維持に使うための措置である

1件のコメント

 
GN⁺ 2025-05-17
Hacker Newsのコメント
  • そろそろ Larry Ellison流の圧力をかける時期だと思う。少なくともポケットをひっくり返させて小銭くらいは回収すべき
    あの会社は盗んでいる。OSSの選択肢を提供して企業を助けようとしてきたという点で、すでに十分に原則的で寛大だ。これは悪用なので我慢する必要はない
    過去の記録を考えれば、10年間の窃盗と回避策を短い 停止要求書(C&D) にまとめ、15日以内に中止するかライセンスを購入しなければ、10年分のライセンス費用・利息・罰金を請求すると通知するのがよさそう。特に16日目にソフトウェアを止める必要があるなら、必ず誰かから連絡が来るはず
    これは金額も相当大きそうだが、倫理と責任の問題でもある。CEOなら、従業員と株主に対する責任のほうが大きいのか、この宇宙企業に対する責任のほうが大きいのかを考えるべきだ。会社が非常に裕福だとしても、CEOとして盗まれた資産を回収しようとする強い義務があると思う
    米国企業なら、こうした行為はおそらく DMCAの回避禁止条項に抵触し得る。そうなれば個人に刑事責任が生じる可能性もある。DMCAは、ライセンス契約によって企業が刑事責任を作り出せるようにするひどい法律だと思うが、米国では現在の法律であり、弁護士がこの点を説明すれば相手方の弁護士もすぐ交渉に出てくる可能性が高い

    • 同意。これは明白な窃盗なので、会社はほぼ即座に和解するだろう。回収費用だけでも文字どおり数百万ドルかかり得るし、罰金まで付けばさらに大きくなる
      法廷まで行くことはなさそう。行為そのものは弁護不能で、争点はOPの会社にいくら支払うべきかだけになるはず
    • まず請求書を送ればいい。作成には法務アドバイスを受けるべき。毎月新しい費用を反映した 新しい請求書を送り、何度か送った後に回収業者へ回すと圧力をかければいい
      時間はかかるかもしれないが、最終的には回収できる
  • 「何日も追いかけ回して時間を無駄にするつもりはない。だが、ある時点からは数ドルを節約するレベルを超えて パフォーマンスアートになる」とは、ぜひ追いかけるべき
    これは無料トライアル規約違反である可能性が非常に高いので、法廷に持ち込むべきだ。そうでないなら、少なくとも会社名を公開して恥をかかせるべきだ。こんな馬鹿げた窃盗を仕組んだ愚かな管理者が解雇され、もっと成熟した人が入るかもしれない

    • 実際、CEOに直接連絡して一部始終を説明しようかと考えている。ただ正直なところ、CEOはすでに全部知っていて、まったく問題だと思っていない可能性も高い。そこが特に残念だ
      すぐに法的措置を急ぐつもりはない。今のところエネルギーを使う価値は大きくないが、こうした行為を公に指摘する必要はあると感じた。OSSメンテナーが時々どんな馬鹿げたことを相手にしなければならないのか、エコシステムの他の人たちへのシグナルにもなる
      会社名を直接公開するのはまだ保留中だが、完全に排除しているわけではない
    • この部分は変だと感じた。明らかに無料トライアルに同意した際に結んだ ライセンス条件違反のはずなのに、自分の仕事に対してお金を受け取るのが嫌なのかと思った
    • 陰謀論的に見れば、これは全部ただの広告かもしれない
      「当社の製品はあまりに優れているので、航空宇宙企業が文字どおり盗んで使っています。ところで、新しい30日間トライアルはご覧になりましたか? その航空宇宙企業の話に戻ると、当社ソフトウェアをいかに安く使えるか、現在の商品を一度ご覧ください……」みたいな感じ
    • 悪魔の代弁者として言えば、メールアドレスを入れるだけで30日間無料トライアルが開く仕組みなら、人々がメールアドレスを入れることに文句を言うのは難しい。特に体験をスムーズにするため、メール入力欄と「start free trial」ボタン以外に何もないならなおさらだ
      人々は常に限界まで使う、あるいは悪用する方法を探す。ユーザー体験と悪用防止の間で、どこに制限を設けるか考える必要がある
    • 年間売上が約1億3000万ドルで、宇宙に衛星を持つ航空宇宙企業は多くない。Planet Labsだと思う
  • 前職の10億ドル規模の会社で、誰かが無料ユーザーアカウント1つを約100人で使えるようにプロキシのようなものを作っていたことがある
    もっと多くの機能が必要で競合製品も検討し、既存のやり方を続けるか、より良いソリューションに移るかを決める会議に参加した。2つの製品は公平に比較されたが、価格だけは例外だった
    計画は、本来支払うべき費用を払わずに違法利用を続けるか、合法的に使っていたならより安かったはずの別サービスを使うか、というものだった。比較するなら少なくとも実際の費用で比較すべきだと問題提起したが、誰も共感せず、結局移行せずに違法利用を続けることになった。お金が問題ですらなかった
    これを作った人はすでに会社を辞めていたが、誰もこの問題に対処したがらず、ただ無視するほうが楽だと判断したようだった

    • そうした違法または非倫理的な行為で、5〜10年の間にいくら節約できたのだろう?
      「Rocket Company」が月平均30台の機器を使い、月最大1,600ドルだとすれば、割引前で年60万ドル程度。10年なら300万ドルほどを囲い込んだことになるかもしれない
      Vatesが支払いを受けるには、実際に業務を行っている運用組織から統制権を切り離し、中央IT組織へ抽象化する必要がありそうだ
  • 「だが、ある時点からは数ドルを節約するレベルを超えてパフォーマンスアートになる」という表現がいい。ユーモアもいいし、事例もいい
    会社は製品費用よりも従業員の時間に多くのお金を使っている可能性が高い
    無料トライアル版で ミッションクリティカルなものを動かすなんて想像しがたい。以前、Adobeが訴訟で負けたという話を聞いたことがある。誰かが無料トライアル版で画像を作ったが、試用期間終了後に開けなくなったという理由だった
    自分がその会社の顧客なら、かなり心配になるだろう

  • 「無料トライアルは終了しており、御社はこれ以上無料トライアルキーを受け取れません」と言えばいい。それには弁護士も脅しも必要ない
    「当社製品を気に入っていただきありがとうございます。残念ながら、これ以上無料トライアルとしてサポートすることはできません」のように丁寧に言えばいい
    所属を隠して無料トライアルを受け続けるなら、見つけるたびに偽の申し込みをブロックし、本当に最後の手段として法的警告をすればいい。全部は捕まえられなくても、相手には非常に面倒だ
    目標は彼らを 有料顧客としてオンボーディングすることだ。それ以外の結果は実質的に損失である。礼儀正しく、しかし断固としているべき

    • 私なら少なくとも無料トライアル登録のバックエンドロジックに会社名と既知の別名を検査する小さなルーチンを入れ、「無料対象ではありませんが、営業チームが喜んでご相談に応じます! よい一日を!」のようなメッセージを返すようにしただろう
  • いちばん憂うつなのは、この出来事がまったく驚きではないという点
    無料トライアルで先にクレジットカードを求める理由はまさにこれ。こっそり課金しようとしているのではなく、偽造がより難しいから。こういう人たちのせい

    • 本気でやろうと思えば、この方式を回避するのもほとんど些細なこと。米国のCapitalOneでは、クレジットカードを持っていれば検証可能なバーチャルカードを作成でき、いつでも無料で削除したりブロックしたりできる
      こうした慣行は、軽い気持ちで体験版を悪用しようとする人は防げるだろうが、実際の有料顧客を苦しめるだけで、悪意ある行為者はほとんど防げないように感じる
  • CTOとして、こういう行為にはかなり強く反対するし、責任は航空宇宙会社のCTOにあると思う
    初期に節約しながら踏ん張るのは仕事の一部だが、売上が出始めたら、規模が大きくなるタイミングで無料プランを開始時の有料プランに切り替えるべき
    私たちの業界にこんなふうに振る舞う人たちがいるのは残念

    • 120%同意。ただ、無料プランをどれだけうまく活用しているのかも気になる
      個人的には、クラウド/SaaSの無料プランは初期利用コストを相殺してくれる程度のものだと思っている。なので本当に小規模でない限り、無料プランは合わない
  • 消費者向けスタートアップで、紹介制度のせいで似たようなことを経験した
    毎月時計のように同じ人が偽の紹介を作って1か月分の無料利用権を得ており、アプリの再インストール、偽アカウントでのコンテンツ作成、戻ってくる、といったかなり面倒な手順を踏んでいた。全部5ドルを節約するためで、ほぼ同じ品質の無料プランもあった
    システムに勝って、見つからなかったというスリルもかなり大きな要因だと思う。理解はできる

  • 以前、大企業のIT部門で働いていたとき、ソフトウェアを購入するために必要なことがあまりに大変で、どんな「創造的な解決策」でもずっとましに見えた
    最悪なのは、安価なソフトウェアがいちばん大きな被害を受けるという点。数百万ドルのCiscoアップグレードは問題にならない。すでに数百万ドルなのだから。でも10ドルのメール用シェアウェアライセンスを買うには、複数の人が大量の勤務時間を使う必要がある。誰がやるというのか

    • ある顧客とミーティングしたことがある。彼らは私たちの製品を評価中で、私たちの製品はOSSではなかった。雰囲気は良く、製品を気に入っていて、購入しそうに見えた
      ところが気まずいことに、担当者がCEOに、ルールがあると言った。会社はOSSしか使えないというルールだった。実際には、その会社自身の製品はOSSではなかった
    • 自分のノートPCにニューロダイバーシティ支援ソフトウェアをインストールしようとして、似たようなことに遭っている。助けようとしてくれる人は多く、政府が費用も払い戻してくれるが、新しいベンダーを登録するのが難しく、セキュリティ承認も必要
    • 会計の観点では、おそらく買掛金詐欺を防ぐための仕組みである可能性が高い
  • この話がかなり正確だと仮定すると、双方が何を考えていたのか気になる
    無料で使う側では、自分たちはルールの範囲内にいると思っていたのだろうか? このやり方を続ける承認は、どれほど上層部まで上がっていたのだろうか? 誰かは支払おうとしたが止められたのだろうか? 誰かが上司に、全部社内で作ったと言ってしまい、今さら外部に任せていて会社が露出していたことを認めたくないのだろうか? 最上層まで上がっていて、弁護士が毎回会社名と実名を入れておけば善意として保護されると助言したのだろうか?
    提供者側では、10年も張り付いている企業ユーザーを見て、営業担当はなぜ飛びつかなかったのだろうか? ポリシーを少し変えて、このただ乗りユーザーと、それをまねできる他の人たちを防がずに、どうして10年も放置したのだろうか? その間、この件が頭に浮かんだとき、事業担当者たちは何と言っていたのだろうか? 事業がうまく行きすぎていて、彼らを有料顧客に転換する時間が惜しかったのだろうか?