概要

セキュリティ研究者らは、Truffle Securityを通じて、古いパブリック向けのGoogle APIキーが静かに不正アクセスを受け入れる可能性がある脆弱性を持っていることを発見しました。この問題により、開発者がGemini AIエンドポイントへのアクセスを有効にする場合、以前に公開されたAPIキーは自動的に高度な機密情報を含む資格情報としてアップグレードされます。これにより、攻撃者はこれらのキーを使用してプライベートデータや高額なAIクエリの実行が可能になります。

問題の詳細

Googleは長年にわたり、開発者に公開サービス（例：Google Maps）のためにAPIキーをクライアントサイドコードに直接埋め込むことを推奨してきました。これらのキーは主にプロジェクト識別子として使用され、公開しても安全だと考えられていました。

しかし、新しいGenerative Language APIが有効になると、以前の公開されたAPIキーは自動的に高度な機密情報を持つ資格情報にアップグレードされます。これにより、攻撃者はこれらのキーを使用してGeminiプラットフォームへのアクセスを取得し、プライベートデータや高額なAIクエリの実行が可能になります。

脆弱性の影響

この問題は、多くのウェブサイトで公開されたAPIキーを通じて攻撃者に悪用される可能性があります。Google自身もこの危険を認識し、新しいAPIキーのデフォルト設定をGemini専用アクセスに変更しています。

対策

• 組織は直ちにすべてのプロジェクトでGenerative Language APIが有効になっているか確認し、無制限なキーをスコープ化する必要があります。
• セキュリティチームは公開されているキーを回転させ、コードスキャナを使用して漏洩した資格情報を検出します。

元記事: https://gbhackers.com/google-api-keys-leak-sensitive-data/