セキュリティ

漏洩したGoogle APIキーは削除後も約23分間使える可能性があると研究者が確認


APIキーはアプリやサービスがGoogle CloudなどのAPIにアクセスするための認証情報であり、漏洩した場合は第三者に不正利用される恐れがあります。通常、開発者はAPIキーの漏洩に気づくと、管理画面からAPIキーを削除して被害を止めようとします。しかし、セキュリティ企業Aikidoの研究者は、Google APIキーを削除した後でも最長で約23分間、認証に成功するケースがあったと報告しました。

Google API keys keep working after you delete them long enough to be exploited
https://www.aikido.dev/blog/google-api-keys-deletion

Google API Keys Remain Live - YouTube


Aikidoによると、Google APIキーの削除はGoogleの全インフラに一斉に反映されるわけではなく、段階的に反映されます。漏洩したAPIキーを持つ攻撃者は、削除後も大量のリクエストを送り続けることで、削除情報がまだ反映されていないサーバーに当たる可能性があります。AikidoはユーザーがAPIキーを削除してから最後の認証成功が発生するまでの時間を「失効までの時間差」として調査しました。


調査では、失効までの時間差が短くても約8分、中央値で約16分、最長で約23分に達したとのこと。Aikidoは10回の試験を2日間にわたって行い、各試験でAPIキーを作成して削除した後、1秒あたり3~5回の認証リクエストを送り続けました。


Googleのような大規模サービスでは、データや設定の変更を世界中のサーバーへ少しずつ反映する設計が使われます。Aikidoは段階的に反映する設計を「最終的に整合する仕組み」と説明しています。大規模システムを高速かつ安定して動かすためには有効な仕組みですが、認証情報の削除に同じ考え方を当てはめると、ユーザーが「削除済み」と思っているAPIキーが攻撃者に使われ続ける時間が生まれるというわけです。


被害は単なる認証の遅れにとどまりません。Aikidoのジョー・レオン氏は、Geminiが有効になっているプロジェクトでは、攻撃者がアップロード済みファイルやキャッシュされた会話内容を外部送信できる可能性があると指摘しています。つまり、削除後も使えるAPIキーは「利用料金を増やされる問題」であると同時に「データを持ち出される問題」でもあります。

この問題を報じたThe Registerによると、Google APIキーの悪用では認証情報を盗まれた開発者が短時間で数百万円規模の請求を受けた事例が複数報告されています。Googleは2026年4月に課金ポリシーを改定して利用額上限の段階制を導入しましたが、一定条件を満たすアカウントでは使用量急増時に上限が250ドル(約4万円)から10万ドル(約1590万円)へ自動的に引き上げられる可能性があるとのこと。

Aikidoはアメリカ東部、西ヨーロッパ、東南アジアの3リージョンに仮想マシンを用意して5回の追加試験も行いました。削除直後の認証成功率はリージョンによって差があり、東南アジアの仮想マシンでは認証成功率が比較的低く、アメリカ東部と西ヨーロッパでは高めだったとのこと。ただし、仮想マシンの場所と実際にリクエストを処理するサーバーの場所が一致するとは限らないため、Aikidoは外部から正確な原因を断定できないと説明しています。


AikidoはGeminiにアクセス可能なGoogle APIキーで主な試験を行いましたが、BigQueryやMapsなどのGoogle Cloud API向けに範囲を限定したAPIキーでも同様の挙動を確認したとしています。一方で、新しいGemini APIキー形式では削除反映がおよそ1分、Googleのサービスアカウントキーではおよそ5秒だったとのこと。AikidoはGoogle規模のシステムでもより高速な失効処理は技術的に可能だと述べています。

Aikidoは調査結果をGoogleに報告しましたが、Googleは「修正しない」として報告を終了したとのこと。Google側は「APIキー削除の反映遅延はシステムの想定通りの動作であり、セキュリティ問題ではない」という立場だとAikidoは説明しています。The RegisterはGoogleにコメントを求めましたが、記事作成時点で回答は得られていないと報じています。

Aikidoは「Googleがより高速な失効処理を導入するまで、漏洩したGoogle APIキーの削除を『即時完了』ではなく『30分程度かかる作業』として扱うべき」だと述べています。Aikidoはまた、Google Cloudコンソールの「有効なAPIとサービス」から認証情報別のリクエスト状況を確認し、削除後も予期しない利用が続いていないか監視することが重要だとしています。

この記事のタイトルとURLをコピーする

・関連記事
Googleが「公開してOK」と案内していたAPIキーがGeminiの認証キーにもなっているせいで個人情報垂れ流し状態のウェブサイトが大量に存在 - GIGAZINE

Google Cloudが誤ってアカウント停止、Railway全体が約8時間ダウンした障害の全貌 - GIGAZINE

Google Chromeに追加予定のAI機能「Prompt API」はなぜMozillaに反対されているのか? - GIGAZINE

Googleが「検索結果を違法にスクレイピングしている」としてSerpApiを提訴 - GIGAZINE

Google Cloudからオンプレや他のクラウドへ移行する際の転送料金が無料に、クラウド市場における顧客の選択と競争の障壁を取り除く一歩へ - GIGAZINE

・関連コンテンツ

in ネットサービス,   セキュリティ, Posted by log1d_ts

You can read the machine translated English article Researchers have confirmed that leaked G….