Googleから「不正使用された可能性があります」とのメールを受け取り、対処方法が分からず困惑している方へ。
この記事では、Google Cloud PlatformのAPIキーが不正使用された場合の対処方法を詳しく解説します。
実は先日、Googleから「不正使用された可能性があります」とのメールが届き、驚いて焦っているのですが、どうしてよいのかさっぱり分からず、非常に困惑しております。
対処方法は書かれているのですが、読んでもまったく分かりません。「詳細はこちら」にジャンプすると、さらに分からなくなるばかりで、、、。
そんなとき、こちらのサイトを知り、藁にもすがる思いで質問させていただいた次第です。
届いたメールのタイトルは以下のとおりです。
「通知 不審なアクティビティのアラート
Google Cloud Platform または API プロジェクト My Project (id: my-project-1523004401093) の認証情報が不正使用された可能性があります」
長くなってしまいますので、もし対処方法をご教示いただけるようでしたら、届いたメールをそのまま送らせていただきます。
お忙しいところ大変恐縮ではございますが、どうぞよろしくお願いいたします。
以下のブログの方と同じ症状かと思われます。
https://crieit.net/posts/Google-API
しかしこの方の説明だと読んでも私もわかりませんでした^^;
Google Cloud Platformというのは「ちょっとGoogleの機能を貸して」というサービスです。
その貸したもの(API)が、どんなモノなのかによって修正方法が変わってくるようです。
まず、Google Cloud Platformのプロジェクトにログインしてください。
- ここへ行く→ https://console.cloud.google.com/iam-admin/serviceaccounts?hl=ja&_ga=2.109116487.399947327.1678328105-39502987.1678328105
- プロジェクトをクリックする
- サービスアカウントを選ぶ
- 次に、不審なアクティビティを検出した日付や時刻を確認
- それ以前のログをチェックして、どのようなアクティビティ(情報漏洩)が行われたかを特定します。また、相手があなたの認証キーを使ったサービスもチェックしてください。
問題なければ放置
問題なら
・認証情報を無効化する
・パスワードを変更する
を行ってください。
これらの手順を踏んでも問題が解決しない場合、Google Cloud Platformのサポートに連絡して、より詳しいサポートを受けることができます。
また、今後このような問題を回避するために、
・強力なパスワードを使用する
・2段階認証を有効にする
・不審なアクティビティを監視する
など、セキュリティに関する最善な方法を実践することをお勧めします。
ご質問に回答できるようお手伝いできましたでしょうか。
何か他にご質問があれば、遠慮なくお尋ねください。
早速ご教示くださった番号どおり進めてみようとチャレンジしたのですが、
早々に③でつまづいてしまいました。
①のサイトにジャンプし、②のプロジェクトをクリックすると、
③で表示されたのは、以下のような画面です。
※ プライバシーの関係で表示できませんm(__)m
「表示する行がありません」とあるのですが、どこか別の箇所を選択(クリック)するのでしょうか。
基本的なことだと思うのですが、申し訳ございません。
引き続きご教示いただければ幸いです。
どうぞよろしくお願いいたします。
おそらくここにサービスアカウントが表示されていないということは
・ログインユーザーが違う
・そもそも何も問題が無い(Googleのミス)
の可能性があるかもしれません。
メール本文を転送していただければ確認させていただきます。
もちろん個人情報は保護させていただきますので、問題なければで結構です。
良ければ伏せたい部分は伏せて送ってくださいね^^
よろしくお願い致します。
お言葉に甘えて、メール本文を以下にコピーさせていただきます。
※ プライバシーにて表示できません。
重ねがさね恐縮ですが、どうぞよろしくお願いいたします。
メール添付ありがとうございます。
調べてみたところ、以下のサイトのソースコード(プログラム)に、りりか様のAPIキーが記載されていました。
「福音の村」カトリックのホームページ
APIを使っているサービスはGoogleマップです。
どんな理由があって不正利用されたのかメールアドレスが無いようなので問い合わせできませんでした。
一番良いのは、
「新しいAPIキーを生成して古いAPIキーを無効化する」
のが、もっとも手っ取り早いですね^^
以下手順となります。
Google Cloud コンソールから行います。
① こちらのURLへ行きます→ https://cloud.google.com/cloud-console?hl=ja
② 「コンソールへ移動」をクリック
③ 「クイックアクセス」の中にある「APIとサービス」をクリック
④ 左のメニューにある「認証情報」をクリック
⑤ APIキーの下にある「APIkey」をクリック←違う名前かもしれません
➅ APIキーを編集の右にある「キーを再生成」をクリック
⑦ 「現在のキーを新しいキーに交換してもよろしいですか?」で「キーを交換」をクリック
もし他でAPIを使用している場合は再生成に注意が必要ですが、GoogleChromeブラウザで使用している分には問題ないかと思います。
これで「情報漏洩」メールは来なくなりますよ^^
もしわからなかったらご連絡ください。
↓ 補足 ↓
なぜAPIを不正利用するのか?もし気になったら以下の文もお読みくださいね。
APIキーは、Googleマップなどのサービスを利用する際に必要な認証情報の一つであり、APIキーを知っている人はある程度制限なしでサービスを利用できるため、不正利用される可能性があります。
APIキーが自分以外のサイトで使われている場合、APIキーが漏洩した可能性があります。APIキーが漏洩すると、APIキーを知っている人が制限なしでサービスを利用できるようになるため、APIキーを不正利用する人が現れる可能性があります。例えば、APIキーを使用して大量のリクエストを送信してサービス(ネット業務)を過負荷に陥らせたり、APIキーを使用してコストをかけずにサービスを利用するなどが考えられます。
不正利用されたAPIキーによって発生する費用や損失は、APIキーの所有者に請求される可能性があります。したがって、APIキーが漏洩した場合には、漏洩を止めるためにAPIキーを無効化するか、制限するなどの対応が必要となります。また、APIキーを公開する際には、漏洩や不正利用のリスクを考慮し、適切なセキュリティ対策を講じることが重要です。
長文失礼しました。
手順をご教示くださり、ありがとうございます。
また、補足もありがとうございます。
勉強不足で充分に理解できなくてお恥ずかしいですが、コワいということだけはよく分かりました。
ご対応いただけて、本当にありがたく思います。
お教えくださったとおり、①のサイトにジャンプすると、画面上部に以下のように表示され、②の「コンソールへ移動」のボタンが見当たりませんでした。
なんとか他からアクセスできないかと探したところ、Google Cloud Platform( https://console.cloud.google.com/ )から可能そうなので、
そちらにジャンプしてみました。
すると、「クイックアクセス」の項目に「認証情報」-APIとサービス-の覧があったので、④に当たるかと思い開くと、以下のようなページが開きました。
APIキーは四つ載っていたのですが、とりあえず、APIを使っているサービスはGoogleマップとのことでしたので、
一番上の「地図用APIkey」をクリックしてみました。
すると、⑥のAPIキーを編集「キーを再生成」の項目があったのでクリックしたところ、⑦が可能となりました。
同じページに、「アプリケーションの制限の設定」「ウェブサイトの制限」「APIの制限」とありますが、
ここは無視してもよろしいでしょうか。
また、「地図用APIKey」の他の三項目は、「キーを再生成」しなくても大丈夫でしょうか。
何度も何度も申し訳ございません。
心苦しいですが、どうぞよろしくお願いいたします。
再生成は完了したのですね^^
操作が違ってしまい申し訳ありません。
↓以下について回答いたします。
同じページに、「アプリケーションの制限の設定」「ウェブサイトの制限」「APIの制限」とありますが、
ここは無視してもよろしいでしょうか
はい。漏洩しているAPIキーは再生成したので無視して問題ありません。
それよりも「なぜ漏洩したのか」が問題で、なにかウェブ上に誰でも閲覧できる投稿をされた事などがありましたら、そのサービスを制限かけた方が良いでしょう。
地図用のAPIキー以外は漏洩していないので再生成する必要はありません。
しかしこちらもウェブ上に投稿などして、第三者が閲覧できるサービスを利用しているなら漏洩の可能性はあります。
怖い話をしてしまいましたが、わたしもGoogleのサービスを利用しています。
しかし身元がバレたり、個人情報が盗まれるといった事はありません。
そのことについては安心してください。
まとめますと、
漏洩してしまったAPIキーだけを再生成していただければOKです。
あ、一応他のAPIキーが漏洩したAPIキーになっていないか確認だけしておいてくださいね^^
APIキーは送っていただいたGoogleからのメールに記載されています。
このメールで表示するとスパムメールになってしまいますので伏せさせていただきました。
よろしくお願い致します。
お世話になっております。
重ねがさねの丁寧なご対応に心から感謝いたします。
>それよりも「なぜ漏洩したのか」が問題で、なにかウェブ上に誰でも閲覧できる投稿をされた事などがありましたら、そのサービスを制限かけた方が良いでしょう。
なぜだかさっぱり分かりません。
ただ、依頼されて、WordPressで誰でも閲覧できる投稿をウェブ上に掲載しましたので、「ウェブサイトの制限」にチェックを入れてそのサイトを制限しました。
>しかしこちらもウェブ上に投稿などして、第三者が閲覧できるサービスを利用しているなら漏洩の可能性はあります。
他のAPIキーも上記と同様のサイト上のものでしたので、念のため、地図用API Keyと同様に、「Keyの再生成」と「ウェブサイトの制限」をしておきました。
>しかし身元がバレたり、個人情報が盗まれるといった事はありません。
>そのことについては安心してください。
よかったです!
疋田さまに伺う前、検索をかけて調べていたら、いろいろと怖いことが書いてあったので焦っていました。
大変助かりました。しつこいようですが、本当にありがとうございます。
念のため、あと一件だけ質問させてください。
「認証情報」の画面上に、以下のような文章が出てきます。
(「! 必ず、アプリケーションに関する情報を使用して OAuth 同意画面を構成してください。 『同意画面を構成』 」)
冒頭に黄色い「!」マークが出ているので心配です。
「同意画面を構成」をクリックすると、「アプリをどのように構成および登録するかを選択します」とあり、
どうも無関係のような気はするのですが、放っておいて大丈夫でしょうか。
お忙しいところ、申し訳ございません。
WordPressを使っていらっしゃるのであれば、だれでも閲覧できる状態ですね^^
もしまた同じような事があれば都度再生成するのがよろしいかと思います。
さて、ご質問にあった「必ず、アプリケーションに関する情報を使用してOAuth同意画面を構成してください。」の問題。
OAuth(オーオース)とは、Google Cloudを含む多くのWebサービスで使用される認証の仕組みの一つです。
OAuthを使用すると、ユーザーがGoogleアカウントなどの認証情報を使って、別のアプリケーションにアクセスすることができます。
簡単に解説するとアプリケーションなどでログインしたりする場合、小さい窓が表示されて認証する場合があると思います。
それがOAuth認証です。
それを行わないと
つまり、アプリケーションをGoogle Cloudに登録し、OAuth認証を使用するための設定を行う必要があります。
ここで黄色いマークの表示がされているのは、その認証画面の設定で不足があるということだと思います。
わたしもここまでは行ったことが無いので推測になってしまいますが・・^^;
ネットで調べたところ以下のような記述がありました。
↓
OAuth同意画面を構成しない場合、ユーザーはアプリケーションにアクセスする前にアプリケーションがどのような情報にアクセスするかを理解できず、プライバシーやセキュリティに関するリスクが生じる可能性があります。また、Google Cloudに登録されたアプリケーションがOAuth認証を使用することができなくなる可能性があります。
さらに、Googleはプライバシーやセキュリティに関する規制を強化しており、OAuth同意画面を構成しない場合、Google Cloud上でのアプリケーションの使用が制限される可能性があります。
したがって、OAuth同意画面を構成することは非常に重要です。アプリケーション開発者は、十分な情報提供を行い、ユーザーがアプリケーションにアクセスする前に理解できるようにすることで、プライバシーとセキュリティを保護することができます。
この「ユーザーがアプリにアクセスする前に理解できるようにする」というのが本来の目的のようですね。
やった方が良いのか、やらない方が良いのか・・
私なら何もしないかもしれません。
ここまでの作業をほとんどの人が行っていないと思います。
自分にリスクがあるわけでもないようなので、放置してしまうでしょうね^^;
ご参考になれば幸いです。
再生成のアドバイス、承知いたしました。
注意しておきたいと思います。
また、OAuthの件、「私なら何もしないかもしれません」「自分にリスクがあるわけでもないよう」とのことですし、
十分に理解できないまま、いろいろ手続きを進めていくとかえって大変になりそうなので、私も放置といたします。
このたびは、お忙しいでしょうのに信じられないほど御親身に、またこの上なく丁寧に分かりやすく、
その上無料で、いろいろと御教示くださいまして本当にありがとうございました。
パソコンは便利ですが、いざ問題発生となると対処しきれないことも多いです。
検索して何とか解決しようとしますが、ヒットした回答が古くて現段階では無効だったり、
私のレベルでは回答すら理解できなくて困ったり、、、。
これからも、何か壁にぶつかって自分ではどうしようもなくなってしまったら、
またお声をかけるかもしれません。
その節は、どうぞよろしくお願いいたします。
貴サイトのコメント欄には、当方からのお願いでストップしてしまっているので、御礼だけ送らせていただきます。
重複してしまうと思いますが、どうかご了承くださいませ。
本当に本当にありがとうございました。
パソコンに問題が発生すると対処しきれないこともありますが、お困りの際はいつでもお声をかけてください。私たちはお手伝いすることができます。お気軽にご相談ください。