Googleが提供する各種サービス間でのAPIキー管理において、重大なセキュリティ上の見落としが判明した。従来、Google MapsのAPIキーはウェブサイトに地図を埋め込むためにソースコード内へ直接記述されることが多く、実質的に公開される前提で設計されていた。しかし、同じGoogle Cloudプロジェクト内でGemini APIを有効化すると、権限昇格（Privilege escalation）が発生する。これにより、かつては無害な公開用識別子であったキーが、プライベートファイルへのアクセスや多額の課金を伴う重大な機密情報へと一変してしまうのだ。

この問題の本質は、サービス移行時における開発者への警告不足にある。Geminiを有効にした際、既存のキーの権限はユーザーに通知されることなくバックグラウンドで拡張される。その結果、かつては安全だった公開用の設定が、現代のセキュリティリスクへと変貌する「罠」が生まれている。キーの機能範囲が裏側で変更されることで、レガシーな構成がそのまま脆弱性となってしまう点に注意が必要だ。

Truffle Securityによる最近の調査は、この問題の深刻さを浮き彫りにした。2025年11月のCommon Crawl（インターネット上の膨大なアーカイブ）を分析したところ、Geminiのエンドポイントにアクセス可能な有効なAPIキーが3,000件近く発見された。驚くべきことに、その中にはGoogle自身が所有するキーも含まれており、Gemini APIが登場する数年前から公開状態にあったものも存在した。Googleは現在、影響を受けた認証情報の無効化を進めているが、今回の事例は生成AI時代の複雑なインフラ管理における課題を改めて突きつけている。

Googleが提供する各種サービス間でのAPIキー管理において、重大なセキュリティ上の見落としが判明した。従来、Google MapsのAPIキーはウェブサイトに地図を埋め込むためにソースコード内へ直接記述されることが多く、実質的に公開される前提で設計されていた。しかし、同じGoogle Cloudプロジェクト内でGemini APIを有効化すると、権限昇格（Privilege escalation）が発生する。これにより、かつては無害な公開用識別子であったキーが、プライベートファイルへのアクセスや多額の課金を伴う重大な機密情報へと一変してしまうのだ。

この問題の本質は、サービス移行時における開発者への警告不足にある。Geminiを有効にした際、既存のキーの権限はユーザーに通知されることなくバックグラウンドで拡張される。その結果、かつては安全だった公開用の設定が、現代のセキュリティリスクへと変貌する「罠」が生まれている。キーの機能範囲が裏側で変更されることで、レガシーな構成がそのまま脆弱性となってしまう点に注意が必要だ。

Truffle Securityによる最近の調査は、この問題の深刻さを浮き彫りにした。2025年11月のCommon Crawl（インターネット上の膨大なアーカイブ）を分析したところ、Geminiのエンドポイントにアクセス可能な有効なAPIキーが3,000件近く発見された。驚くべきことに、その中にはGoogle自身が所有するキーも含まれており、Gemini APIが登場する数年前から公開状態にあったものも存在した。Googleは現在、影響を受けた認証情報の無効化を進めているが、今回の事例は生成AI時代の複雑なインフラ管理における課題を改めて突きつけている。