最近、「Googleが公開してもOKと言っていたAPIキーが、実はGeminiの認証キーにもなっていて、悪用されるリスクがある」というニュースが話題になりました。 「FirebaseのAPIキーは公開が前提」と言われて、「いいねボタン」にも使っています。
なぜニュースで騒がれているの?
FirebaseのAPIキーは、実は「Google Cloud全体のAPIキー」でもあります。それが、最近のGoogleのアップデートで、FirebaseのキーがそのままGeminiのキーとしても動くようになってしまったために、大騒ぎになっています。
悪意のある人がAPIキーを盗み、Geminiの利用履歴を覗き見たり、Geminiを勝手に使用されて、その請求が自分に来たり・・・なんてことが起こり得ます。
今すぐやるべき「2つの制限設定」
Google Cloud コンソールで、ウェブサイトの制限(リファラー制限)とAPIの制限を設定します。
ステップ1:管理画面にログインする
- Google Cloud コンソール(認証情報) にアクセスします
-
Firebaseで使用しているプロジェクトを選択します
※プロジェクトが複数ある場合は、画面左上のプロジェクト名から、プロジェクトを切り替えてください - 「API キー」という一覧の中から、キー名をクリックして、編集画面に入ります。
ステップ2:ウェブサイトの制限(リファラー制限)をする
- 「アプリケーションの制限」 セクションで [ウェブサイト(HTTP リファラー)] を選択します
-
「ウェブサイトの制限」
の下にある「項目を追加」を押し、自分のブログURLを入力します
例:https://sa-asobuzo.blogspot.com/*
※ワイルドカード(*)は絶対に必要です
これで、自分のブログURL以外からは、このキーを使えなくなります。
ステップ3:API制限をする
- 「API の制限」 セクションで [キーを制限] を選択します
- 「API を選択」のドロップダウンから、「AI・ML(機械学習)」と名前がつくもののチェックを外します
- Firebase AI Logic API
- Firebase ML API
- ML Kit API
- Generative Language API (もしあれば)
- Cloud Natural Language API (もしあれば)
※必要なものだけにチェックが正しいのですが、判別がつかないので危ないものだけ外しました。
頼みのGeminiとChatGPTがお互い全然違うことを言い出した😱
今回のニュースが怖いのは、「Googleが勝手に、APIキーにGeminiの権限を合体させてしまった」ことにあります。今回の作業でGeminiの権限は外したので、これで一安心です。
最後に、Geminiが
「Googleに任せる」のではなく、「Googleに『これ(AI)だけは絶対させないで!』と命令しておく」のが、2026年の正しい付き合い方です。
って言ってた、お前もGoogleだろ😅
追記:「不審なアクティビティ」というメールが届きました
このブログを書いている時に、Googleから「APIキーが一般公開されています」という怖いメールが届きました。やっぱり問題になってるんですね。セキュリティ対策おすすめします。
コメントを投稿
別ページに移動します