[AIマイナーニュース速報] Google APIキーの「常識」が崩壊？Gemini有効化で公開キーが機密漏洩の罠に

📰 ニュース概要

• Google CloudのAPIキー（AIza…形式）は、MapsやFirebaseなどで「公開コードに埋め込んでも安全な識別子」として長年扱われてきた。
• 同一プロジェクトでGemini API（Generative Language API）を有効にすると、これら公開済みのキーがGeminiの認証キーとして無警告で機能し始めることが判明。
• 調査の結果、ウェブ上に公開されている約3,000件のGoogle APIキーが、意図せずGeminiへのフルアクセス権限を持っている状態にある。

💡 重要なポイント

• 遡及的な権限拡大: 3年前に作成したMaps用のキーが、Gemini APIを有効にした瞬間に「機密情報へのパスポート」へ変貌する。
• 不安全なデフォルト設定: 新規作成されたAPIキーはデフォルトで「無制限」であり、プロジェクト内で有効なすべてのAPI（Gemini含む）に即座に使用可能。
• 実害のリスク: 攻撃者は公開されているキーを拾うだけで、被害者のアップロードファイルやキャッシュデータへアクセスでき、LLMの使用料を被害者のアカウントに請求させることが可能。

🦈 サメの眼（キュレーターの視点）

「公開識別子」がいつの間にか「秘密の鍵」に格上げされるなんて、開発者にとっては悪夢だサメ！Google自身がこれまで『APIキーはシークレットではない』と明言していたことが、この問題をさらに深刻にしているサメ。特にMapsのドキュメント通りにHTMLに直書きしたキーが、そのままGeminiのバックドアになる設計は非常に危険だサメ。Truffle Securityの指摘通り、Google自身の内部用Geminiにアクセスできる古い公開キーまで見つかったというから驚きだサメ！

🚀 これからどうなる？

Google Cloudを利用する開発者は、既存のすべてのAPIキーに対して「API制限」を適用し、Geminiなどの機密性の高いサービスへのアクセスを明示的に禁止する必要がある。今後は「公開用キー」と「秘密用キー」の明確な分離が、アーキテクチャレベルで求められるようになるサメ。

💬 はるサメ視点の一言

サメの牙より鋭い脆弱性だサメ！「昔からこうしてたから大丈夫」という常識が、AIの登場でひっくり返った典型例だサメ。みんな、自分のサイトのソースコードを今すぐ見直すサメ！🦈🔥

📚 用語解説

• Generative Language API: Geminiモデルをプログラムから利用するためのGoogle公式API。

• 特権昇格 (Privilege Escalation): 本来持っていないはずの高度な権限を、システム上の欠陥などを突いて取得すること。

• CWE-1188: 「不安全なデフォルト値での初期化」を指す脆弱性の種類。今回のGeminiキーがデフォルトで全開放されている問題がこれに該当する。

• 情報元: Google API keys weren’t secrets, but then Gemini changed the rules