【元記事】(https://qiita.com/miruky/items/fde2d0747358cd7870d7)
3行まとめ
- Firebase用の制限なしAPIキーがGemini API有効化時に認証情報として機能し、13時間で約900万円の不正請求が発生した
- GCPはデフォルトで全APIへのアクセスを許可する設定であり、ユーザーが明示的に制限しない限り脆弱なままになる
- APIキーのアクセス範囲を制限し、定期ローテーション・利用額上限・用途別キー分離の複合的対策が急務である
要約
背景・課題
- Firebase用の制限なしAPIキーがGemini API有効化時に認証情報として機能するようになり、公開状態のキーから13時間で約900万円の不正請求が発生した
- GCPはデフォルトで全APIへのアクセスを許可する設定になっており、明示的な制限なしでは脆弱なまま
アプローチ
- APIキーごとにアクセス可能なAPI範囲を明示的に制限し、Gemini APIは除外する設定を推奨
- キーの定期的なローテーション、利用額上限、プリペイド方式の導入、用途別キー分離などの複合的対策を実施
成果・ポイント
- 2025年11月の脆弱性報告から複数の同様事案が確認されており、数千個の脆弱なキーが存在する
- Google側の対応は段階的で、既存ユーザーの自動修復は予定されていないため、ユーザー自身による対策が急務