WordPressがWP Engine保有の超有名プラグイン「Advanced Custom Fields」を勝手に「フォーク」、開発元はプラグインが「同意なしに持ち去られた」と主張

WordPressの創始者であるマット・マレンウェッグ氏が、WordPress特化のホスティングサービスである「WP Engine」を痛烈に批判し、WP Engineからのアクセスをブロックしています。この問題に続き、WordPressのマレンウェッグ氏が、WP Engine保有の超有名プラグイン「Advanced Custom Fields(ACF)」をフォークしたと発表しました。

Secure Custom Fields – WordPress News
https://wordpress.org/news/2024/10/secure-custom-fields/

現地時間の2024年10月12日、マレンウェッグ氏はACFを「Secure Custom Fields」という新しいプラグインにフォークすると発表しました。

マレンウェッグ氏はACFをSecure Custom Fieldsにフォークする理由として、ACFのアップデートがWP Engineのウェブサイトから直接行われるようになったことを挙げています。これはWordPressがWP Engineからのアクセスをブロックしたことで発生した問題であり、ACFは2024年10月3日に同変更を発表しました。

そこで、WordPressはWordPress.orgのアップデートサービスを使用する場合、プラグインをアップデートするとACFがSecure Custom Fieldsに切り替わるようにしたことを発表しています。WordPress.org経由でプラグインを自動更新しているウェブサイトも、このプロセスによりプラグインがACFからSecure Custom Fieldsに自動で切り替わることとなります。

マレンウェッグ氏はSecure Custom Fieldsについて、「セキュリティ問題を修正するための可能な限り最小限の変更が施されたもの」と説明。さらに、ACFからSecure Custom Fieldsに切り替わったことで、Secure Custom Fieldsは非商用のプラグインとなるため、保守・改善に携わりたいという開発者を募っています。

過去に同様の事態が発生したことはあるものの、これほど大規模なものではなかったとマレンウェッグ氏は説明しており、「WP Engineの法的攻撃によって引き起こされたまれで異常な状況であり、他のプラグインでこのような事態が起こるとは予想していません」と述べました。

しかし、ACFの開発チームは「ACFプラグインをマレンウェッグ氏に盗用された」と主張するブログを公開しています。

ACF | ACF Plugin no longer available on WordPress.org
https://www.advancedcustomfields.com/blog/acf-plugin-no-longer-available-on-wordpress-org/

ACFは20万行を超えるコードを持つ洗練されたプラグインで、WordPressユーザー向けに2011年から開発されてきました。ACFはWP Engineに買収されてから、過去2年間で15回以上リリースを行っており、継続的に新機能の追加を行ってきたそうです。

このACFプラグインが、開発チームの同意なしにWordPress.orgに勝手にフォークされてしまったと開発チームは主張しています。ACFの開発チームは「WordPressの21年の歴史の中で、開発中のプラグインが作成者の同意なしで一方的に取り上げられたことは一度もありません」と述べ、WordPressによる一方的な措置を批判しました。

開発チームは「マレンウェッグ氏の行動は非常に懸念すべきものであり、WordPressエコシステム全体をひっくり返し、回復不能な損害を与える重大なリスクがあります。我々や他の多くのプラグイン開発者およびコントリビューターが、プラグインを皆で共有するという精神のもと運用してきたこのオープンプラットフォームを、マレンウェッグ氏は一方的にコントロールしようとしています。彼の試み​​は深刻な信頼の悪用、多様な利益相反、そしてコミュニティにおけるオープン性と誠実性の約束を反故にするものです」と述べ、マレンウェッグ氏を批判しました。

ACFからの批判に対して、WordPressは「このような事態は過去にも何度か行われており、ディレクトリに参加することで同意することになるガイドラインに沿った行為です。あなたのバージョンの成功をお祈りします。我々は入手可能な最高のGPLコードを使用して、ユーザーにとって素晴らしいバージョンを作成できることを楽しみにしています」と述べ、ガイドラインに沿った正当なフォークであると主張しています。

WordPressがフォークの根拠として挙げているのは、WordPressのプラグインガイドラインにある「プラグインディレクトリを可能な限り維持する権利を保有します」という項目。このガイドラインにはプラグインの品質およびプラグインの使用者の安全を確保するためにWordPress側が保有する権利が書かれており、「公共の安全のために、開発者の同意なしにプラグインに変更を加える権利」をWordPress側が有していると記載されています。

なお、WordPressによるWP EngineからのアクセスブロックおよびACFの一方的なフォークを、BasecampやHEYの開発者であるデビッド・ハイネマイヤー・ハンソン氏は、「MetaがMicrosoft(GutHubとnpmの所有者)と法廷闘争を起こしたところ、MicrosoftがGitHubからMetaの従業員が使用しているリポジトリへのアクセスを全面禁止し、MetaのReactリポジトリを乗っ取って自社プロジェクトにフォークするようなものです」と説明しました。さらに、「オープンソースコードレジストリを武器にすることは決して許されることではなく、レジストリは中立的な領域のままでなければいけない」と述べ、この問題はWordPressとWP Engineだけの問題ではなく、オープンソースプロジェクト全体に影響を与え得るものであると主張しました。

ハンソン氏の主張に対し、マレンウェッグ氏は「ハンソン氏はオープンソースの専門家であると主張していますが、彼の有害な性格とチームをスケールさせる能力の欠如により、彼は約5兆ドル(約750兆円)相当の優れたアイデアを発明したにもかかわらず、その価値の大部分が他の人に奪われてしまいました」と主張。さらに、「ハンソン氏のような賢い人が、WP Engineのつまらない手法に騙され、商標ではなく『GPLコード』やフォークの問題に話を逸らしてしまうことは驚きです」と語りました。

これに対して、ハンソン氏は「Shopify、GitHub、Gusto、Zendesk、Instacart、Procore、Doximity、Coinbaseなどの企業がRailsを使って数十億ドル(数千億円)の評価額を獲得したと言われることを、私は誇らしく思います。過去20年間、進化と保守を続けてきたウェブアプリケーションフレームワークでこれほどの価値が生み出されたのを見ることは、この上ない満足感です。生涯の仕事が実現したかのようで、素晴らしい勲章であると言えます」と述べ、自身のこれまでの仕事に悔いはないとしました。

なお、ソフトウェア開発者のGavin Anderegg氏も、「人気のプラグインを一方的に乗っ取るというのは狂気の沙汰であり、サプライチェーン攻撃とどう違うのか私にはわかりません」「そもそも、乗っ取りの原因を作ったのはWP EngineからのアクセスをブロックしたWordPress.org自身です。WordPressはたまたまACFに軽度の脆弱(ぜいじゃく)性を発見し、ACFはWordPressからアクセスをブロックされているためプラグインをアップデートすることができません。これを理由に、WordPressはACFプラグインを乗っ取ろうとしているのです」と述べました。