Honeyのディーゼルゲート:テスターの検知と欺瞞

 (vptdigital.com)
1 ポイント 投稿者 GN⁺ 2026-01-01 | 1件のコメント | WhatsAppで共有
  • ブラウザ用ショッピングプラグイン Honey が、テスト状況を検知して挙動を変える 「ディーゼルゲート式」操作コード を使っていた形跡が明らかになった
  • Honeyは、アカウント作成日、ポイント累積値、ブラックリスト、アフィリエイトネットワークのCookie検知 という4つの基準で、ユーザーがテスターかどうかを判定
  • この条件のいずれか1つでも当てはまると規定どおりに「スタンドダウン(stand-down)」を実行するが、一般ユーザーだと判断すると 規定を無視してアフィリエイトリンクを強制挿入
  • 分析者は ソースコード、設定ファイル、パケットキャプチャ、テレメトリログ を通じて、Honeyの選択的な規定違反を繰り返し確認
  • この行為は Volkswagenのディーゼルゲートに似た隠蔽の試み であり、アフィリエイトネットワーク・マーチャント・プラットフォーム(Google・Apple)すべての信頼を損なう可能性がある問題

Honeyの規定違反の構造

  • Honeyは、アフィリエイトネットワークとマーチャントが定めた 「スタンドダウン」ルール を回避するよう設計されている

    • スタンドダウンとは、既存のWebパブリッシャーがすでにアフィリエイトリンクを提供している場合に、別のソフトウェアが追加リンクを表示しないようにするルール
    • Honeyは一般ユーザーにはこのルールを無視し、テスターだと疑われる場合にのみ規定を守る形で動作

  • この構造は Volkswagenのディーゼルゲート のように、テスト環境でのみ規定を順守するよう設計された形態

    • Honeyは規定を認識していながら回避しようとしていた点で、意図的な隠蔽行為 と評価される

テスター検知メカニズム

  • Honeyは次の4つの基準でユーザーがテスターかどうかを判定

    • 新規アカウント: 作成後30日未満なら規定違反行為を停止
    • ポイント累積値: 65,000ポイント(約650ドル相当)未満ならテスターと見なす
    • サーバーブラックリスト: 苦情履歴や特定のIP・Cookieが登録されている場合は規定違反を停止
    • アフィリエイトネットワークCookie: CJ、Rakuten Advertising、Awinなどの提携先ログインCookieがあればテスターと判断

  • このうち1つでも該当するとHoneyは規定を順守するが、すべて通過すると 規定を完全に無視してアフィリエイトリンクを挿入

  • このような設計は テスターによる検知を妨害 し、短期テストや新規アカウントベースの検証を無力化する

技術的証拠

  • ハンズオンテスト: ポイント値を操作してHoneyの反応を比較

    • ポイントが少ないときは規定を守ったが、高ポイントに見せかけたときは規定を無視してリンクを表示
    • アフィリエイトネットワークCookieを追加すると、Honeyが再び規定を順守する様子を確認

  • 設定ファイル分析: ssd.json で選択的スタンドダウンロジックを確認

    • uP:65000(ポイント基準)、gca(Cookie検査)、bl(ブラックリスト)などの項目が存在
    • 特定のマーチャント(Booking.com、Kayosportsなど)には、より高いポイント基準が設定されている

  • テレメトリログ: Honeyがどの理由でスタンドダウンを実行したかをJSON形式で記録

    • state:"uP:5001", state:"gca" など、内部判断の根拠が明記されている

  • ソースコード分析: JavaScript関数 P() が各基準値を比較してスタンドダウンの可否を決定

    • すべての条件を通過すると "ssd" 状態で規定を無視
    • email に “test” を含むかどうか、affiliate cookie の有無なども検査

eBayに対する特異な例外処理

  • HoneyはeBayに対して 24時間(86,400秒) のスタンドダウンを適用しており、他のマーチャントよりはるかに厳格
    • コード上でもeBayドメインに対して 無条件でスタンドダウン するようハードコードされている
    • 過去のeBayのアフィリエイト不正事件(2008年)以後の 厳格なアフィリエイト管理 を意識した措置とみられる

設定の変化と時点

  • 2022年には大半のネットワークでポイント基準がなく、Rakuten(LinkShare)にだけ 501ポイント(約5ドル) の基準が適用されていた
  • 2025年現在は 65,000ポイント へと大幅に引き上げられている
    • MegaLagの2024年動画公開後にHoneyが基準を強化したと推定される
  • LinkShareの場合はむしろ緩和され、現在は5,001ポイントだけで規定無視が可能

隠蔽行為の文脈

  • Honeyの行為は、過去の Cookie stuffing、ジオフェンシング、IPフィルタリング などのアフィリエイト不正事例と類似している

    • 特定のIPやCookieを遮断して テスターが問題を再現できないよう妨害 する
    • アフィリエイトネットワークCookieを検知して 業界関係者に対してのみ異なる動作を実行 する

  • このような隠蔽は単なる規定違反より深刻な問題であり、意図的な欺瞞 を裏付ける

    • Amazonが過去にHoneyを「セキュリティリスク」と警告した理由が、結果的に正当化された

今後の見通し

  • Honeyは Google Chrome Web Store のポリシー(透明性、機能の隠蔽禁止)に違反している可能性がある
  • Apple App Store も厳格な審査手続きを適用しているため、制裁の可能性がある
  • 進行中の 集団訴訟 では、Honeyの隠蔽行為が追加証拠として活用される見通し
    • Honeyの不規則な挙動の原因が明確に解明され、訴訟の構図が単純化される可能性がある

テスト方法の公開

  • 分析者は FiddlerScript を利用してHoneyサーバーとの通信を操作し、ポイント値を任意に変更
    • これにより高ポイントアカウントのシナリオを再現し、Honeyの反応を検証
  • この方式は現在、VPTの 自動化ショッピングプラグイン監視システム にも適用されている

関連記事

1件のコメント

 
GN⁺ 2026-01-01
Hacker Newsのコメント
  • 以前広告テクノロジー企業で働いていたが、今回の件は一線を越えていると思う
    業界では "revealed preferences" や "enabling personalization" のような用語で飾り立てられがちだが、"selective stand down" のような機能を設計するとき、エンジニアが何を考えていたのか本当に気になる
    会社に属しながら契約を回避しようとする製品を作るというのは、それ自体が一つの選択だ
    • おそらく「私は道徳的基準を守る自由がなく、代替可能な労働力であることに不安を抱え、家族の生活と医療保険が仕事に縛られていて、政府が自分を守ってくれるとは信じていない」という心境だったのだろう
    • これは2017年のUberのGreyballプロジェクトと何も変わらないと思う
      ニューヨーク・タイムズの記事にもあるように、法や契約の回避を当然視する企業文化は存在する
    • Guido Palazzoの著書 The Dark Pattern は良い例だ
      この本は、文脈の力が理性や道徳よりも強いことを示している
      第二次世界大戦当時の「悪の凡庸さ」を思い起こさせる。周囲の全員がそう振る舞っていれば、誰でもどんなことでもしてしまう
    • 倫理観が崩れたエンジニアが、他の誰かが文明を守ってくれることを期待しているように見える
    • 「腹が満たされて初めて倫理が出てくる」という言葉を思い出す
  • 元のMegaLag動画こちらで見られる
    こうしたシステムを作るエンジニアなら「自分たちは悪役なのか?」と考えそうなものだが、そうではないようだ
    • ちなみにブログ記事の著者 Ben Edelman は動画の33分地点に登場する
      彼の個人サイトは benedelman.org/honey-detecting-testers
    • 資本主義は悪事から手を洗うのがうまい
      私が使っているスマートフォンにも奴隷労働が一部含まれているのだろうし、結局は私たち全員がその構造の一部だ
    • 最初は『Honey』が蜂蜜製品のことかと思ったが、実際には割引クーポン拡張機能だった
  • 15年ほど前、通信事業者で似たようなアフィリエイトマーケティングの問題を経験した
    試験的にすべてのアフィリエイト手数料の支払いを止めてみたところ、トラフィックは少し減ったが、売上はほとんど変わらなかった
    結局、ブランド認知だけでも十分に顧客を獲得できていた
  • Amazon のような企業が、なぜ今でも Honey のアフィリエイトアカウントに支払いを続けているのか理解できない
    実際の紹介トラフィックではないと分かっているはずなのに、それでも払い続けている
  • この拡張機能がChrome Web Storeで承認されたということは、ストアのマルウェアフィルタリングの信頼性がほとんどないということだ
    • ただし、これはマルウェアではない
      マーケティング企業同士がコミッションを奪い合っているだけで、ユーザーデータをサーバーにアップロードしているわけでもない
      すべての検査はクライアント側で行われる
    • 実際のところ Google は Honey が何をしているか全部把握しているはずだ
      その気になれば、たった一度の措置で Chrome から削除できる
  • もともと Honey はcamelcamelcamelのクローンとして始まったが、システム乱用により Amazon から追放された
    その後クーポンサイトへ転換し、PayPalが40億ドルの現金で買収した
    その結果、私のアフィリエイト収益は減った
  • アーカイブへのリンクはこちらにある
    • ただ、このリンクは画面がちらつき続け、スクロールもおかしくて読めない
      元サイトの問題なのかアーカイブ側の問題なのか分からない
    • もしかして元サイトが開けないから archive.org を使ったのだろうか?
      元記事は vptdigital.com/blog/honey-detecting-testers にある
      もし問題があるなら、Ben Edelman に直接連絡してみることを勧める
  • このHoney詐欺事件は、もう1年ほど前に発覚していた件だったと記憶している
    ここ数日で再び記事になっているのは意外だ
    • YouTuber のMegaLagが1年前に第1弾を公開し、最近になって第2弾第3弾を公開した
      新しい情報によって Honey のイメージはさらに悪化した
  • アフィリエイトマーケティング業界全体が癌のようなものに思える
    Amazon にはこの仕組み自体を止めてほしい
    • それでも私は、アフィリエイトリンクが最も公正な広告手法だと思っている
      木工や塗装のブログで、実際に使っている製品へのリンクを見る方が、無作為な広告より良いと思う
    • 消費者の立場からすれば、むしろ直接割引を受けられる方がいい
      公式ストアが同じ割引コードを提供すれば、みんなにとって得になるはずだ
  • 元記事は現在アクセスできないが、archive.is/7Y9Jqで読むことができる