GoogleのAPIキー、Geminiで個人情報漏洩リスク
GoogleはFirebaseやGoogleマップなどのAPIキーを「公開しても安全」として案内していました。しかし、セキュリティ企業Truffle Securityの調査によると、同じキーがGeminiという管理ツールにもアクセス可能になっていることが判明しました。GeminiにアクセスできるAPIキーを公開していたウェブサイトでは、攻撃者がGeminiで利用している各種ファイルを盗み出す、または多額のAPI使用料を課すなどの攻撃が可能になります。Truffle Securityは2025年11月にGoogleに問題を報告しましたが、当初は修正を拒否されました。しかし、2026年2月19日に問題が解決せず、今回の報道に至りました。Truffle SecurityはGoogleのAPIを利用するユーザーに対して、Gemini APIの権限を確認するように呼びかけています。
背景
2023年11月、セキュリティ企業Truffle SecurityがGoogleのAPIキーと管理ツールGeminiの関係性について問題を指摘しました。GoogleはこれまでAPIキーを公開しても安全だと案内していましたが、Geminiへのアクセスも可能になっており、個人情報漏洩のリスクが高まっていました。
重要用語解説
Firebase: Googleが提供するモバイルアプリ開発プラットフォーム。
Googleマップ: Googleが提供する地図サービス。
Gemini: Googleが提供する管理ツール。ウェブサイトやアプリケーションの管理に利用されます。
APIキー: アプリケーションプログラミングインターフェース(API)を利用するための認証キー。
Truffle Security: セキュリティ企業。今回の問題を指摘した調査会社です。
今後の影響
この問題は、Google APIを利用するウェブサイトやアプリケーションのセキュリティに大きな影響を与えています。攻撃者が個人情報を盗み出す、または多額のAPI使用料を課すなどの被害が発生する可能性があります。Googleは問題解決に取り組んでいますが、ユーザーはGemini APIの権限を確認し、適切な対策を取る必要があります。