Google AI Studio、一晩で約287万円の請求書

適切なセキュリティ対策を取っていた開発者が、一晩でA$2万5,672（約287万円）の請求を受けた。APIキーは盗まれていない。Googleがデフォルトで無効にしていた9つの設定が、この事態を招いた。

情報の灯台

2026年4月23日

鍵は盗まれていなかった

Google AI Studioで120本以上のアプリを構築してきたオーストラリアのAIコンサルタント、ジェシー・デービス（Jesse Davies）は今月、A$2万5,672（約287万円）の請求書を受け取った。2FAを設定し、APIキーはプロジェクトごとに分け、課金アカウントも別管理にしていた。それでも防げなかった。

攻撃者はAPIキーそのものを盗んでいない。数ヶ月前にAI Studioから公開したCloud RunサービスのパブリックURLを発見し、GoogleのプロキシがAPIキーを使ってリクエストを代わりに署名した。そのキーはコンテナの環境変数に平文で保存されており、リンクは共有もインデックス登録もされていなかった。それだけでは不十分だった。

翌朝に予算アラートが届いた時点で、すでにA$1万がクレカに請求されており残高不足になっていた。Googleサポートと話している間に、さらにA$1万5,000が課金された。

一夜にして 6万件の画像生成リクエストが走り、合計A$2万5,672が課金された。デービスがLinkedInに書き残したのは不注意の反省文ではなく、Googleが「デフォルト設定」として出荷した問題リストだった。

9つのデフォルト設定という構造

デービスがライブアカウントで確認した「オフのまま出荷されている設定」は9項目にのぼる。いずれも通知なし、いずれもユーザーが自分で変更しなければ有効にならない。

APIキーの制限はデフォルトで無制限。IPアドレス制限もHTTPリファラ制限も、設定画面には存在しているが有効にはなっていない。月次支出上限はブランクのままで、2026年3月以前に作成されたキーは手動で変更していない限り今も上限ゼロだ。

Gemini APIのログは初期状態でオフ。課金を無効にした瞬間にログアクセスも失われるため、攻撃を止めながら証拠を確保することが同時にできない。「Your AI spend」という支出診断ツールは存在するが、Googleからの通知はなく自分で有効化しなければ表示されない。この画面はすでに支出の99.98%が1つのキーに帰属し「高度に異常」と判定していた。しかし誰も教えなかった。

Cloud RunからAI Studioでアプリを公開すると、IAM認証が無効化された状態でデプロイされ、APIキーが平文の環境変数としてコンテナに保存される。デフォルトでパブリック公開だ。

後払い請求がデフォルト設定だ。前払いオプションは2026年3月まで存在しなかった。クレジットカードへの課金に実質的な上限がない状態が長期間続いていた。

課金ティアが無通知で上がっていた

デービスのアカウントはTier 2（上限$2,000相当）から始まっていたが、攻撃者の課金が$1,000を超えた時点でGoogleは自動的にTier 3へアップグレードした。通知なし、承認なし。

攻撃者の課金がTier 2を突き破った時、Googleは私をTier 3へ自動移行させた。求めていなかったのに、その支出がトリガーを引いた。

このティア設計はスタートアップが急成長した際にサービスが止まらないよう意図されたものだ。しかし攻撃を受けた個人にとっては、Tier 3の上限である $2万〜$10万まで被害が広がりうる仕組みになる。

Redditのコミュニティにも類似ケースが積み上がっている。日本在住のユーザーが$4万4,000の請求がAPI停止後も$12万8,000まで膨らんだと報告し、今年2月には別のケースでGemini APIキーの悪用により2日間で $8万2,314 の請求が発生したことも確認されている。

APIキーが安全でなくなった日

今回の被害には、より構造的な背景がある。

セキュリティ企業Truffle Security Co.（トラフルセキュリティ）が2026年2月に公開した分析は、Google CloudのAPIキー形式に本質的な欠陥があると指摘した。Google CloudのAPIキーは元々プロジェクト識別子として設計されており、GoogleマップなどのサービスではURLへの埋め込みが想定されていた。

ところが、GeminiのAPI（ジェネレーティブ言語API）をプロジェクトで有効化した瞬間、既存のAPIキー全てが無通知でGemini認証情報に変わる。キーそのものは変わらない。Googleのバックエンドが受け付ける対象が変わるのだ。

キーが変わったのではなく、そのキーをGoogleが受け付ける対象が変わった。開発者は何も通知されていない。

Truffle Securityが公開インターネット上で確認した生きているAPIキーは 2,863件。その中にはGoogleの内部キーも含まれていた。当初はGoogleの指示に従い公開されたキーが、Gemini有効化後に課金クレデンシャルへと変貌していた。

Googleは請求を免除した。それで解決か

最終的にGoogleは今回の請求を免除し、実際に通過した取引については銀行もクレジットバックした。Googleの管理職との会議も設定されている。

この件が「解決した」と言えるかどうかは別の話だ。デービスが事後にCloud Runのセキュリティ推奨パネルを確認すると、「APIキーをSecret Managerに移行せよ」「サービスアカウントを作成せよ」という警告がすでに表示されていた。Googleのプラットフォームは問題を把握していた。しかし誰にも通知されなかった。

「誰かひとりが今夜支出上限を設定すれば、この記録を書いた意味がある」とデービスは書いている。構造が変わらない限り、次の被害者はすでにどこかで眠っている。

参照元