Google Maps/Cloud API(アプリケーションプログラミングインターフェース)のキーは、以前は公開しても安全でしたが、現在では多くの場合、実際のGemini AI認証情報として悪用される可能性があります。これは、公開されたJavaScriptやアプリケーションコード内に存在するキーが、攻撃者にGeminiのAPI経由での接続、データへのアクセス、あるいは他人の請求額を増加させる行為を可能にすることを意味します。
研究者らは、公開コード内に約2,800個の有効なGoogle APIキーを発見した。これらはGeminiへの認証が可能であり、主要な金融・セキュリティ・人材採用企業、さらにはGoogle自身のキーも含まれている。
歴史的に、Google CloudのMaps、YouTube 、Firebaseなどのサービス向けAPIキーは、非機密の課金識別子として扱われており、Google自身のガイダンスではクライアントサイドコードへの埋め込みが許可されていました。
この問題を、異なるサイトやプラットフォームでパスワードを再利用する行為と比較すると、単一の識別子を使用することが、ユーザーや開発者が意図した以上の価値ある資産への万能鍵となり得るということがわかります。
主な違いは責任の所在です。パスワードの再利用に関しては、エンドユーザーには明示的に警告が行われています。あらゆるサービスがユーザーに固有のパスワードを選択するよう指示し、セキュリティコミュニティも長年このメッセージを繰り返し訴えてきました。同じパスワードが3つのサイトで再利用され、1つの侵害で全てが危険に晒された場合、そのリスクはユーザーの判断に起因します。たとえ利便性がその判断を促したとしてもです。
Google API キーに関しては、開発者とセキュリティチームは、これらのキーが単なる課金識別子でありクライアント側での公開が安全であるというGoogle自身の従来のガイダンスに従っていました。Geminiが有効化された際、これらの古いAPIキーは突然、本物の認証資格情報として機能するようになりました。
攻撃者の視点では、パスワードの再利用とは、脆弱なサイトから盗んだ1つの認証情報を、クレデンシャルスタッフィング攻撃によってメール、銀行、クラウドアカウントに対して再利用することを意味する。Geminiの変更により、当初「マップ専用」と認識されていた鍵が、文書やカレンダー、その他の機密ワークフローに組み込まれたAIエンドポイントに対しても機能するようになる。また、大規模にクラウド予算を消費させる悪用も可能となる。
安全に過ごすには
今回の事例におけるパスワード再利用の問題点は、ユーザーが選択したものではなく、設計段階で事実上組み込まれている点にある。
根本的な問題は、Googleが本質的に異なる二つの目的(公開識別と機密認証)に対して単一のAPIキー形式を使用している点にある。Gemini APIは、異なる目的のために構築されたキー管理アーキテクチャを継承している。
研究者らは、Googleが報告した問題を認識し、有意義な措置を講じたと述べているが、根本的な原因はまだ修正されていない。
開発者向けアドバイス
開発者は、自身のプロジェクトでGemini(Generative Language API)が有効化されているか確認し、環境内の全APIキーを監査して公開されているものがないかを確認し、該当する場合は直ちに更新する必要があります。
- すべてのGoogle Cloud Platform(GC)プロジェクトでGenerative Language APIを確認してください。GCPコンソールにアクセスし、[APIとサービス]>[有効なAPIとサービス] に移動して、Generative Language APIを探します。組織内のすべてのプロジェクトでこの操作を行ってください。有効になっていない場合、この特定の問題の影響を受けません。
- 生成言語 API が有効になっている場合は、API キーを監査してください。次の場所へ移動します: APIとサービス > 資格証明書各APIキーの設定を確認してください。以下の2種類のキーを探します:
- 警告アイコンが表示されているキーは、制限なしに設定されていることを意味します
- 許可されたサービスにGenerative Language APIを明示的に記載しているキー
いずれの設定でも、キーはGeminiにアクセスできます。
- それらのキーが公に公開されていないことを確認してください。これが重要な手順です。 クライアントサイドJavaScriptに埋め込まれたGeminiアクセス権限を持つキー、公開リポジトリにチェックインされたキー、またはオンライン上で公開されているキーを発見した場合、問題が発生しています。まず最も古いキーから確認してください。これらは「APIキーは共有しても安全」という旧ガイドラインのもとで公開された可能性が最も高く、その後チームメンバーがAPIを有効化した際に遡及的にGemini権限が付与されたものです。公開されているキーを発見した場合は、直ちにキーをローテーションしてください。
個人向けアドバイス
一般ユーザーにとって、これは鍵管理というより、Googleアカウントのセキュリティを強化し、サードパーティによるアクセスに警戒することです。
- Geminiを、API経由でアクセス可能であることを問題としないアカウントやデータストア(ドライブ、メール、カレンダー、企業システム)にのみリンクし、どの連携機能やサードパーティ製アプリがGoogleアカウントにアクセスできるかを定期的に確認してください。
- Geminiを統合するアプリ(ブラウザ拡張機能、SaaSツール、モバイルアプリ)を評価する際は、ブラウザから直接ではなくバックエンドからGemini呼び出しを行うものを優先してください。
- Google Cloudプロジェクト経由でGeminiを利用する場合(例:パワーユーザーである場合や業務で使用する場合)、GCPの請求レポートと使用状況ログを監視し、特に自身の使用状況と一致しない急増など、Geminiの異常なアクティビティを確認してください。
私たちはプライバシーについて単に報告するだけでなく、それを活用する選択肢を提供します。
Privacy 出し以上の広がりを見せてはならない。オンラインプライバシーを守るには Malwarebytes Privacy VPNで守ってください。
