開発者のGoogle Gemini APIキーが盗まれ、48時間で8万ドルを超える費用が発生

IT之家 3月4日の報告によると、Tom’s Hardwareによれば、あるGoogle GeminiユーザーがRedditに投稿し、「衝撃と恐怖に包まれている」と述べており、その原因は彼のソフトウェア開発会社が最近受け取った請求書にあった。

そのRedditユーザーRatonVaqueroは、通常Gemini AIサービスに月額180ドル（IT之家注：現レートで約1245元人民币）しか使っていなかった。しかし、先月わずか48時間の間に、彼のアカウントには82,314.44ドル（現レートで約56.9万元人民币）の請求が発生した。

誰かにアカウントが不正に使用され、Gemini 3 Proを大量に呼び出して画像やテキストを生成していた。もしGoogleがこのAPIキーの盗用による巨額の費用を免除しなければ、その会社は倒産の危機に直面する。

しかし、すでに手遅れだった。RatonVaqueroは今になって一連の対策を講じている：盗まれたキーの削除、Gemini APIの無効化、認証情報のローテーション、全プラットフォームでの二段階認証の有効化、IAM権限の厳格な制限、サポートチケットの提出などだ。しかし、Googleのカスタマーサポートの初期対応から見ると、この費用はおそらくユーザーが負担し続けることになるだろう。

このユーザーとGoogleのやり取りから推測すると、Googleは契約に基づき、本人確認やアクセス制御、ネットワークセキュリティ、APIキーの保護などをユーザー自身が適切に行う義務があるとし、責任を回避しようとしている可能性が高い。また、多くのRedditユーザーは、このAPIキー盗用事件の根本的な原因はGoogle側にあると指摘している。GoogleがAPIキーの秘密保持ルールを緩和したために、盗賊が悪用できたのではないかと推測されている。

影響を受けたメキシコのソフトウェア開発会社の3人の開発者の一人、RatonVaqueroは、Googleに「手を差し伸べてほしい」と懇願し、Googleが災害的な異常使用に対する基本的な防護策すら講じていないことに不満を漏らしている。

月額180ドルからわずか48時間で82,000ドル超に膨れ上がったこの使用量の増加は、極端かつ異常な事態と言える。

彼はまた、Googleには一時的にアカウントを凍結し、審査待ちのサービスやAPIごとの消費上限設定などの機能を提供すべきだと述べている。

今回の高額請求事件の調査結果から判明したこと：

個人または一般のGeminiユーザーには使用制限があり、固定の月額料金を超えることはない。

開発者やビジネス版のGoogle AI Studioユーザーは、クォータ（1日または1分あたりのリクエスト数制限）を設定できる。

Google Cloud（Vertex AI）ユーザーは、予算アラートを設定でき、指定金額に達した際に通知を受け取ることができる。

RatonVaqueroは、近日中に再びGoogleのカスタマーサポートと連絡を取り、FBIにサイバー犯罪の通報も済ませている。今はGoogleの態度が軟化することに期待を寄せるしかない。彼は今回の使用量増加が455倍に達した異常ログを提供し、サイバーセキュリティ事件の被害者として善意の減免を申請する予定だ。