Deleted Google API Keys Remain Active up to 23 Minutes, Study Finds
2026/05/21 hackread — 削除された Google API keys が、23分間にわたって有効であり続け、その後の認証に成功する可能性があることが、Aikido Security の新たな調査により明らかになった。この調査結果は、10回の制御試験を 2日間にわたり実施して得られたものである。
主要な調査結果
API キーは、アプリケーション間のリクエスト認証に使用されるデータ文字列である。研究者によると、Google Cloud Platform コンソール上においては、API キーの削除は、その時点で完全に削除されたように表示される。しかし実際には、完全に無効化されるまで平均 16分、最長で約 23分の遅延が確認された。
この完全な削除までの時間帯において、漏洩したキーを保持する攻撃者は、プロジェクト内の有効な API に対する完全なアクセス権を維持している。
それにより、以下が可能となる。
- Gemini に保存されたキャッシュ済み会話の取得
- アップロード済みファイルのダンプ
- BigQuery データへのアクセス
- Maps API の利用
問題発生の原因
この問題は、Google の認証インフラにおける結果の整合性 (eventual consistency) に起因する。分散システムにおける変更は、すべてのサーバに即時反映されるのではなく、段階的に伝播する。
そのため、キーの削除時に、すべてのグローバル・サーバに対して更新が即時に反映されず、一部のサーバでは一定の時間内において古い状態が維持される。このギャップを悪用する攻撃者は、未同期サーバを経由してキーを継続に利用できる。
この種の問題は、過去において Amazon Web Services でも確認されているが、AWS の無効化遅延は約 4秒に留まっていた。
トラッキングおよびインフラ差異
この欠陥を突く脅威アクターは、Google のグローバル認証サーバが同期する前に、認証リクエストを継続的に送信し、悪意のアクションを実行できる。GCP のリージョンごとの検証では、削除後 1分間の成功率の中央値において、以下の差異が確認された。
- asia-southeast1:成功率 22%
- us-east1/europe-west1:成功率 49%
また、インシデント対応においては、GCP の “Traffic by Credential” グラフが、攻撃中のイベント・タイムラインを追跡する上で複雑な要因となっている。キー削除後の認証試行が、すべて apikey:UNKNOWN として集約されるため、悪用されている認証情報の特定が困難となる。
他の認証方式との比較
研究者たちが指摘するのは、Google における他の認証方式では、高速での無効化が実現されている点である。
- Service Account キー:約 5秒で無効化
- Gemini 新形式キー (AQ. プレフィックス):約 1分で無効化
それらと比較すると、これまでの API キーは大幅に遅延する。
対応と推奨事項
この問題は、Aikido Security から Google に報告されたが、Google は仕様上の既知特性であり、“won’t fix” であると判断した。
そのため、最大で 30分を要するものとして、API キーの削除を扱うよう、研究者たちは推奨している。
具体的には、以下を実施すべきである。
- 削除後 30分間は認証ログを継続的に監視
- 削除直後の API 利用状況の確認
- 高権限 API のアクセス制限
この事象は、分散型の認証基盤における設計上の特性が、実運用上のセキュリティ・リスクとなり得ることを示している。
訳者後書:Google の API キーに関する問題は、 分散型インフラにおける結果の整合性 (eventual consistency) という、設計上の特性が原因となっています。システムの変更が、すべてのグローバル・サーバに即座に反映されないため、キーを削除してから完全に無効化されるまでに、最長で約 23 分のタイムラグが生じています。この同期のギャップがあることで、削除されたはずのキーを保持する攻撃者が、未同期のサーバを経由して Gemini の会話や BigQuery のデータにアクセスできてしまう状態を招いています。ご利用のチームは、ご注意ください。よろしければ、カテゴリー API も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.