Google APIキーは、アプリケーションがMapsからGemini AIまでのGoogleサービスにアクセスできるようにする認証情報です。キーが漏洩した場合、攻撃者はそれを使用してAPI呼び出しを行い、請求額を増やし、Geminiが有効になっている場合はアップロードされたファイルとキャッシュされた会話にアクセスできます。
想定される修正は簡単です。キーを削除することです。しかし、Aikido Securityは、削除が実際にはすぐに機能していないことを発見しました。
テスト
研究者たちは、キーが削除されてから最大23分後の認証成功を発見し、2日間に行われた10回の試験では約16分の中央値を記録しました。
「各試験では、APIキーを作成し、それを削除し、有効な応答が数分間返されなくなるまで、1秒あたり3~5の認証済みリクエストを送信しました」と彼らは述べています。
「完全性を期すために、数週間後に私たちの作業を抜き打ち検査し、観察した動作が一時的なネットワーク問題によるものではないことを確認しました。」
Google Cloudの多くのサービスは設計上「結果整合性」を備えており、更新が一度にすべてのサーバーを通じてではなく、徐々に伝播することを意味します。このトレードオフはGoogleがグローバルにスケールし、高速を保つことを可能にしますが、認証に関しては、これは問題につながる可能性があります。
この問題は誤解を招くUIによってさらに悪化していると彼らは付け加えました。Googleの削除ダイアログでは、キーが「APIリクエストを作成するために使用できなくなる」と述べていますが、研究者のテストは別の結果を示しました。
最後に、ユーザーがキーが完全に機能しなくなったときを確認したり、キー削除プロセスをスピードアップしたりする方法はありません。
ユーザーへの警告
「私たちの試験はすべてGeminiへのアクセス権を持つキーを使用していましたが、BigQueryやMapsなどの他のGCP APIをスコープとするキーで同じ動作を観察しました。遅延は認証情報タイプの特性であり、プロジェクトでどのAPIが有効になっているかではありません」と彼らは発見しました。
彼らはGoogle Service Accountキーの失効プロセスと、特にGemini API向けの新しい形式のAPIキーもテストしました。それらの失効ウィンドウが約5秒と1分(それぞれ)であることを発見しました。
これは、より高速な失効がGoogleの規模で技術的に達成可能であることを示唆していますが、研究者によると、Googleは「システムの既知の特性であり、セキュリティ上の問題ではない」ため、これを修正する予定はないようです。
彼らは考えを変えるかもしれませんが、それまでの間、Google APIキーを削除したいユーザーはこれを認識する必要があり、キー削除を30分の操作として扱い、その期間中、GCPコンソールの「有効なAPIとサービス」でAPI使用状況を監視する必要があります。
翻訳元: https://www.helpnetsecurity.com/2026/05/22/deleted-google-api-keys-risk/
