メジャー・トライアルに送るグラウンドコントロール

 (virtualize.sh)
1 ポイント 投稿者 GN⁺ 2025-05-17 | 1件のコメント | WhatsAppで共有
  • オープンソース・プラットフォームを利用するある準政府系機関が、10年にわたり 無限トライアル を積極的に悪用していた事例
  • この機関は 正式な支払いなしで XOAアプライアンスを継続利用するために、数十個のアカウント を作成した
  • 誠実な サポート提供 と案内にもかかわらず、この機関は ライセンス回避 をやめなかった
  • 自分で構築できる無料オプション が明確に存在したにもかかわらず、適切な手続きではなく トライアル悪用 だけを繰り返した
  • このような行為は オープンソースの持続可能性 を脅かしており、今後はより賢い制限ポリシーが導入される予定

🚀 試用版と試行錯誤の物語

オープンソースの世界は、美しく、複雑で、強力でありながら、ときに理解しがたい側面 をあわせ持つ

# Vatesとオープンソース保守の現実

  • Vates は、オープンソース・プロジェクトの維持に伴うさまざまな難しさについて、これまでも共有してきた経験がある
  • 最近では、AIベースの貢献偽のセキュリティ報告 の増加によって、新たな複雑さが加わっている
  • しかし今回の記事では、もう少し 現実的で具体的な事例 を扱う

🧑‍🚀 終わらないトライアルという特異な事例

# 背景

  • 準政府系機関にあたるある企業は、年商 1億3,000万ドル 規模で、宇宙関連の高価な機器 を構築・運用している
  • この企業は 数百台の実サーバー約4,000台のVM を運用しており、ITインフラの大半を Vatesプラットフォーム に依存している
  • XCP-ng はロケット、Xen Orchestra は衛星というロゴのとおり、この企業にとって中核的なプラットフォームとなっている

# トライアル悪用の手口

  • この機関は、自分たちが 有料顧客ではない ことを明確にしつつ、オープンソースのソースコードを直接インストール する方式も使わない
  • その代わりに、手軽に導入できるフリーパッケージVMである Xen Orchestra Appliance (XOA)30日間(以前は15日間)トライアル を繰り返し申請する
  • 2015年4月 から会社のメールアドレスでトライアルを申請しており、次第に アカウント数が急増 した
  • 開発者、システム管理者、マネージャーなど従業員の大半がトライアルを作成し、○○@corporate.com 形式から 個人の Outlook や Gmail アカウントへ移行した
  • メールハンドルに数字を増やしながら 60個以上のアカウント を作るなど、組織的な姿勢が見られた

# 公開データ

  • トライアルに紐づくアカウント数を実数でチャート化できるほど、積極的かつ一貫した行為が続いていた
  • 問題が発生した際には実名をそのまま入力するなど、実際の会社名を丁寧に記入 するやり方だった

🔍 選択肢の案内

  • 誰でも ドキュメントの案内 に従ってソースからビルドすれば、無料ですべての機能を利用できる
  • XOAアプライアンス は、定期的なテストとアップデート、ワンクリックで最新状態を維持できるなど プロフェッショナルな提供環境 であるため、販売されている製品である
  • この機関の行為は、オープンソースの暗黙の「道徳的契約」 を明白に破るものと見なせる

🧠 実際の悩み

  • Vatesはユーザーに 善意でサポートを提供 しており、初期のテスト段階で購入意思があるように見えた時点でも、誠実に支援していた
  • しかし繰り返される質問や見慣れたセットアップが継続して観測され、60件を超える独立アカウントの記録 を確認することになった
  • 問題提起の後、企業側は ソース版へ切り替える として曖昧な謝罪を伝えた
  • ボリュームディスカウント の提案すら即座に拒否し、専門サポートにはまったく関心を示さなかった
  • 現実にはソースへの切り替えも行わず、依然として個人アカウントで トライアル悪用 を続けている

# 無料のセルフホストが可能な状況

  • 数回のコマンドと短いドキュメント確認だけで、完全なセルフホスティング が可能な環境である

  • 不便な点は、アップグレード体験 が少しだけ不便になることだけだ

  • それにもかかわらず、この企業は無料のセルフホストではなく、反復的なトライアル悪用だけを選んだ

  • これはむしろ、XOAアプライアンスの価値 が市場である程度評価されていることの裏付けでもある

💭 今後の方向性

  • 終わりのない追跡に時間を浪費するつもりはない
  • しかし、10年以上にわたり登録情報に実際の会社名を入力しながら個人アカウントで繰り返す行為は、度を越した水準 である
  • このような振る舞いは、オープンソース・エコシステムの健全性と持続可能性 を損なう要素だ
  • 今後は、こうした トライアル悪用防止 のための、よりスマートな制限ポリシーの導入を検討している
  • 目標は、通常のユーザーの利用を妨げずに、限られたエネルギーを 実際の顧客サポートとソフトウェアイノベーション に集中させることにある
  • 最後に、もしこの企業がこれを読んでいるなら、今からでも合理的で倫理的な選択を試みてほしい

関連記事

1件のコメント

 
GN⁺ 2025-05-17
Hacker Newsの意見

  • この状況ではLarry Ellisonのやり方を参考にして、こうした企業に積極的に対応する必要があるとの指摘。10年分の不正利用と試行を整理してC&D(使用中止要求)を送り、15日以内に中止するかライセンスを購入しなければ、10年分のライセンス料に加えて利息と罰金を請求すると予告する戦略を提案。法的対応になればDMCA(デジタルミレニアム著作権法)違反の可能性があり、この法律は米国で適用され、刑事責任にまで発展しうる点を強調。CEOとして従業員と株主の資産を回収する責任について真剣に考えるべきだと助言

    • 明白な盗用案件なので法廷まで行かずに会社がすぐ和解する可能性があると言及。実際に数百万ドルの損失に加えて罰金まで科されうると指摘し、核心的な争点は被害企業にいくら支払うかに行き着くとする

    • 毎月請求書を送るという直接的な措置から始めてみることを提案。法的助言を受けて請求書を作成し、繰り返し送付したうえで未払いなら回収警告で圧力をかける。時間はかかるかもしれないが、最終的には回収できるという経験談を示す

  • 「はした金を節約しようとしてパフォーマンスアートになった」という表現について、追跡の努力を促す意見。裁判になるかどうかは別として、少なくとも会社名を公表して警鐘を鳴らすべきだとする。これによって未熟な管理者を交代させられるという前向きな結果も期待できる

    • 直接CEOに連絡して実態を伝えるべきか悩んでいるが、すでに事情を知ったうえで容認している可能性には失望しているという話。法的措置は今すぐには考えていないが、公の場で誤った行為を指摘するのはエコシステム内で警戒感を高めるためであり、会社名の公表もまだ保留している

    • 無料トライアルライセンス違反に当たる状況に見え、本当に自分の労働の対価を受け取ることを拒んでいるのか疑問だという声

    • 広報目的ならブログ記事を書くほうがむしろ効果的かもしれないと指摘。Rocket CompanyがOSSコミュニティを利用するなら、OSSへの相互的な還元も考慮されるべきだと言及

    • この話全体が実際には製品広告目的かもしれないという見方。無断使用まで持ち出して自社製品をアピールする戦略だという冗談

    • 年商1億3,000万ドルで人工衛星を保有する航空宇宙企業は多くないため、特定の企業(Planet Labs)ではないかと推測

  • 前職では、ある一人が作ったプロキシによって無料アカウント1つを100人ほどで共有していた。競合他社と比べてもコストには触れず、不正利用を継続。違法だと指摘しても反応はなく、コストの問題ではなく処理を避けたいことが背景にあり、説得よりも無視する態度だったという話

    • Rocket Companyが月30台のサーバーを使っていた場合、1年で60万ドル、10年で300万ドルを節約できた可能性があるという試算。実際にサービス料金を回収するにはIT部門の統制が必要だと述べる

  • はした金を節約しようとしてパフォーマンスアートになったという表現のユーモアと実例に共感し、自社の人員が製品購入よりも高い人件費を費やしている可能性を強調。ミッションクリティカルな業務に無料トライアル版を使う企業について、顧客の立場から不安を示し、実際にそうした事例があるとも付け加える

  • このような状況がまったく驚きではないことこそ最も失望させられる、という意見。だから無料トライアルでクレジットカードを要求するようになったのだと分析し、こっそり課金するためではなく、不正利用を難しくするためだと説明

    • クレジットカード要求は実際には大きな効果がなく、その一方で有料ユーザーだけが不便になる副作用があると言及。バーチャルカードを使えば回避が容易な現実も紹介

  • 「トライアル期間は終了したため、これ以上キーは発行できません」という丁寧な案内文で対応することを勧める意見。もし隠れて追加申請が続くなら遮断し、最後の手段として法的措置を検討する。最終的な目標は有料転換顧客の獲得であることを強調し、礼儀を保ちつつも断固とした態度の重要性を説く

    • 会員登録段階でバックエンド側で会社名や既知のaliasを検出し、「無料対象ではありません。営業チームからまもなくご連絡します!」のようなメッセージを返す自動化を勧める

  • CTOの立場から見れば、このような振る舞いは全面的にAerospace CoのCTOの責任だと断言。初期に無料ティアを活用するのはよいが、売上が発生したら有料に移るべきだという意見で、こうした行動を選ぶ業界人がいることを残念に思うと述べる

    • 同意はするが、実際には無料ティアをうまく使う技量も重要だという指摘。SaaSの無料ティアは初期コスト削減のためのものだという個人的見解で、規模が大きくなれば無料ティアには結局限界があると述べる

  • 消費者向けスタートアップで紹介イベントが悪用された事例を経験。毎月こつこつ複雑な手順を踏んで無料1か月分を確保するユーザーを見つけた。基本プランとの差はほとんどないのに、ここまで手間をかけるのは、システムに勝つスリルや面白さの要素が大きいのではないかと考える

  • 実名に触れずにマーケティング戦略として逆利用する方法を提案。非公開の顧客事例としてマーケティングページで積極的に活用でき、未払い事例を業種別・年度別・利用量別に匿名集計して案内する案もある。創作ライティングコンテストとあわせて事例調査を行い、有料ライセンスを提供する案や、ビジネススクールと連携したケーススタディやアンケート調査で広報効果を最大化する案も示す。規約更新の提案とともに、時間が経てば営業チームが複数年ライセンスへの転換を進められる可能性にも言及

  • 個々の実務担当者の立場では、「ベンダーリスク評価」などSaaS購入そのものが難しく複雑なプロセスになりすぎており、それを避けるための草の根的な回避行動が原因かもしれないという仮説を提示

    • 購入手続きが過度に煩雑なため、実際にそうした現象が起きるという事例共有