Truffle SecurityのJoe Leon氏は2026年2月25日、Google CloudのAPIキー(AIza…形式)が、従来は公開前提のプロジェクト識別子として扱われてきたにもかかわらず、Gemini(Generative Language API)を有効化したプロジェクトでは同じキーが機微APIへのアクセスに使えてしまう、とする調査レポートを公開しました。レポートでは、公開Webページ上に埋め込まれていたGoogle Maps等のキーが、いつの間にかGemini APIに対する認証としても機能し得る点を問題視しています。
概要
Googleは長年、特定用途のAPIキーをクライアント側に埋め込む運用を前提にしてきました。たとえばFirebaseのセキュリティチェックリストは、FirebaseサービスのAPIキーは秘密情報ではない(埋め込み可)という趣旨を明記しています。
またGoogle Maps JavaScript APIも、HTMLのscriptタグのクエリにAPIキーを渡す例を示しており、キーがWebページに露出する前提のドキュメント設計になっています。
ところがレポートによると、同一のGCPプロジェクトでGemini API(Generative Language API)を有効化すると、過去にMaps用途で作って公開していた既存キーが、警告や確認なしにGeminiの機微エンドポイントへ到達できる状態になり得ます。
さらに、新規作成したAPIキーがデフォルトでUnrestricted(制限なし)となり、プロジェクトで有効化された全APIに通ってしまう点も、設計として危険だと指摘されています。
影響
レポートが示す攻撃はシンプルです。攻撃者はWebページのソースからAIza…キーを拾い、そのままGemini APIに投げます。例として、/v1beta/files を叩くと403ではなく200が返るケースがある、と説明されています。
curl "https://generativelanguage.googleapis.com/v1beta/files?key=$API_KEY"
影響として挙げられているのは主に3点です。
-
/files や /cachedContents に保存されたアップロード済みデータやキャッシュ内容にアクセスされ得る
-
Gemini APIの利用料金を第三者に不正消費され、請求が膨らむ可能性がある
-
クォータ枯渇により正規のGemini利用が止まる可能性がある
ポイントは、攻撃者が自社インフラへ侵入する必要がなく、公開Webからキーを回収してAPIを叩くだけで成立する点です。
影響範囲
Truffle Securityは、2025年11月のCommon Crawlデータセットをスキャンし、約2,863件の「公開されているがGeminiにも通り得る」APIキーを確認したとしています。金融機関やセキュリティ企業なども含まれ、Google自身の公開サイトに埋め込まれた古いキーがGemini APIの/modelsで200を返した例も提示されています。
Google側の説明と対策の方向性
報道によると、Googleは流出キーの検知・ブロックを進め、AI Studioで新規発行するキーはGemini専用スコープをデフォルトにする方針、漏えい検知時の通知などを挙げています。
Gemini API公式のトラブルシューティングでも、漏えいキーのブロックや、AI Studioで発行するキーをデフォルトでAI Studio(Gemini)に限定する方向性が明記されています。
情シスが今すぐ確認すべきポイント
レポートの問題は、過去の正しい運用が後から危険に変わる点にあります。まずは影響有無を素早く切り分けるのが現実的です。
-
全GCPプロジェクトでGenerative Language API(Gemini API)が有効になっていないかを確認する
-
有効な場合、API Keysで次を重点監査する
-
Unrestricted(制限なし)のキー
-
Generative Language APIが許可サービスに含まれているキー
-
-
該当キーがWeb(HTML/JS)、公開リポジトリ、配布物に含まれていないかを確認し、露出があれば即ローテーションする
-
今後の運用として、Gemini用途はAI Studioで発行するGemini専用キーの利用を検討し、従来の公開前提キーと同居させない設計に寄せる
出典
Google API Keys Weren’t Secrets. But then Gemini Changed the Rules.








