「漏洩に気づいたらキーを消す」——多くの開発者が当然と思っているこの初動が、実は思ったほど早く効かない。セキュリティ企業 Aikido の研究者が、Google の API キーを削除した後も最長で約 23 分間、そのキーが認証に通り続けるケースを確認した。
23 分の「猶予」を計測する #
Aikido は 2 日間で 10 回の試験を実施した。毎回 API キーを作成・削除し、その直後から 1 秒あたり 3〜5 回の認証リクエストを投げ続けて「いつ弾かれるか」を計測している。結果は削除が効くまで最短約 8 分、中央値で約 16 分、最長で約 23 分。さらに、キーの種類によって失効速度は大きく違った。
| 認証情報の種類 | 削除が反映されるまで |
|---|---|
旧形式の API キー | 8〜23 分 |
新形式の Gemini API キー | 約 1 分 |
サービスアカウントキー | 約 5 秒 |
「結果整合性」が生む攻撃ウィンドウ #
なぜ即座に消えないのか。Google 規模のインフラでは、削除命令が世界中のサーバへ少しずつ伝播する「結果整合性(eventual consistency)」が前提になっている。利用者から見れば一瞬で消えたつもりでも、内部的にはまだ伝播の途中だ。
攻撃者視点では、これは明確な「窓」になる。盗んだキーで認証を高速に叩き続ければ、削除情報がまだ届いていないサーバに当たる確率が残る。インシデント対応で最も価値のある「最初の数分」が、そっくり攻撃者にも与えられているということだ。Google はこの挙動を「設計どおりで脆弱性ではない」とし、修正しない方針を示した。より速い失効は技術的に可能だと Aikido は指摘するが、見解は平行線のままだ。
「消した」を完了と見なさない #
防御側が取るべき構えはひとつ。キーの削除を「即時遮断」ではなく「30 分かかる作業」として扱うことだ。漏洩が疑われたら、キーを消すだけでなく、そのキーがアクセスできるリソース側(データやバケットの権限)を切り、Cloud コンソールで認証情報ごとのリクエスト状況を監視して、削除後も不審な利用が続いていないかを確認する。「Revoke した」はインシデント完了の合図ではなく、監視を始める合図である。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。