Googleの「安全」APIキーでセキュリティ穴、Gemini認証の二重使用リスク

概要

Googleが「ウェブサイトに埋め込み可能」として公開推奨していたAPIキーが、実質的にGemini管理画面への認証キーとしても機能していたことが判明しました。この設計欠陥により、ソースコードに記載されたAPIキーを入手した攻撃者が、該当サイトの管理者権限でGeminiにアクセス可能な状態が大量に存在すると見られます。

背景と文脈

セキュリティ研究企業Truffle Securityによる調査で明かされた本件は、APIキーの権限分離設計における根本的な誤りを示しています。Googleは長年「公開可能なAPIキー」と「秘密鍵」の二層構造をベストプラクティスとしてきましたが、異なるサービス間での権限の暗黙的な融合が生じていた可能性があります。特にFirebaseやGoogleマップなど広く採用されているサービスのキーが該当するため、影響範囲は相当規模と考えられます。

今後の展望

Googleは本件に対する公式声明とパッチリリースを急ぐ必要があります。当面は、既存APIキーの権限分離機能強化と、Gemini認証の独立したキーシステムへの移行が予想されます。業界全体でも、サービス間でのキー再利用に対する警戒が強まる可能性が高いと見られます。

原文リンク: Googleが「公開してOK」と案内していたAPIキーがGeminiの認証キーにもなっているせいで個人情報垂れ流し状態のウェブサイトが大量に存在

よくある質問

既にFirebaseやGoogleマップを使用しているサイトは何をすべきか？

Google Cloud Consoleでキーの制限設定を確認し、該当キーに対する「使用可能なAPI」から不要なサービス（特にGenerative AI API）を除外してください。同時に新規キーの生成とローテーションを検討してください。

このセキュリティ穴を悪用されたかどうか確認できる？

Google Cloud Consoleの監査ログでAPIキーの使用履歴を確認可能です。Geminiへのアクセスがないか調査し、不正なアクティビティがあれば直ちにキーを無効化してください。

個人プロジェクトの小規模APIキーも対象？

Googleマップ、Firebase等の同じキー体系を使用している場合は対象の可能性があります。スケール関わらず、権限確認と最小権限の原則に基づく設定変更を推奨します。