Google Cloudで請求300万？ 攻撃者にAPIキーを抜かれた開発者の悲劇：877th Lap

ある日突然、クラウドの利用料が想定をはるかに超えて跳ね上がった。原因に心当たりはなく、対策も講じていたはずだった。それでも請求額は静かに増え続けていく。その裏で一体何が起きていたのか。

[キーマンズネット]

　クラウドサービスを使えば、サーバの構築やインフラ管理を意識することなく、誰でも手軽にインフラやアプリケーションを利用できる時代になった。だが、その手軽さの裏にあるコストの仕組みを、どこまで正しく理解しているだろうか。従量課金は使った分だけ支払う合理的なモデルである一方、利用状況を把握できていなければ、請求額は気付かないうちに膨れ上がってしまう。

　実際に、月額わずか約1100円（日本円換算、以下同）の想定で「Google Cloud」を利用していたが、たった一晩で約300万円にまで跳ね上がるという異常事態が起きた。しかも被害に遭ったのは、セキュリティ対策もしていた現役エンジニアだった。なぜ、このような事態が起きたのか。そして、彼が見落としていた、ある設定とは？

　もともと設定していた予算はわずか10オーストラリアドル（約1144円、本稿公開時点）だったが、最終的な請求額は2万6572.86オーストラリアドル（約300万円、本稿公開時点）にまで膨れ上がった。明らかに異常な金額だ。

　この問題を報告したのは、オーストラリアでAIコンサルタントとして活動するエンジニア、ジェシー・デイヴィス氏だ。同氏が「LinkedIn」に投稿した内容が注目を集め、Tech系ニュースサイト「Tom’s Hardware」でも取り上げられ、話題を呼んだ。

　デイヴィス氏が異変に気づいたのは2026年4月初旬のこと。利用していたのは「Google AI Studio」で、Google Cloudは使った分だけ料金が発生する従量課金制を採用している。だが、本人はそれほど多く使った覚えはなかったという。

　同氏は120以上のアプリを開発しており、APIキーの分離や二段階認証、監査ログの記録といった基本的なセキュリティ対策も施していた。それにもかかわらず、原因は第三者による不正利用だった。

　攻撃者は、公開されていた「Cloud Run」サービスにアクセスし、コンテナに平文で保存されていたAPIキーを入手。そのキーを使って画像生成リクエストを大量に実行した。リクエスト数は一晩で約6万件にも達したという。

　その結果、翌朝の時点で請求金額は約7000オーストラリアドルに。その後も不正利用が続き、最終的には2万6000オーストラリアドルを超える金額にまで膨らんだ。

　さらに問題を悪化させたのは、Google Cloudのセキュリティ設定の多くが初期状態では無効になっていた点だ。APIの利用制限や月間の支出上限、異常検知といった重要な機能が有効化されていなかった。また、自動的に上位プランへ移行され、支出上限が引き上げられる仕組みも影響したとみられている。

　加えて、サポート対応の遅れも被害拡大の一因だった。問題発覚から人によるサポートにたどり着くまで数日かかり、その間も不正利用と課金は続いていた。

　最終的にはGoogleとの協議により、この請求は不正利用と認められ、既に支払われた分は返金された。ただし、再発防止策については現在も検討が続いている。

　同様の被害は他にも報告されており、数万ドル〜十数万ドル規模に及ぶケースもある。APIキーの管理不備が原因となる例は珍しくない。

　今回の件は、APIキーが単なる認証情報ではなく、料金に直結する重要な権限であることを示している。初期設定のままにせず、支出上限の設定やアクセス制限など、適切な対策を講じることが不可欠だ。

上司X：　Google Cloudを使ってAI開発をしていたユーザーが、トンデモない請求をされた、という話だよ。

ブラックピット：　7オーストラリアドルがまさかの2万6000オーストラリアドル超え、ということですからね。そりゃ、びっくりしますよ。

上司X：　そもそもクレジットカードで決済が通らないこともあるだろうしな。

ブラックピット：　決済できないならできないで一安心かもですけどね。逆に決済されて翌月に「なにこの請求！」となることもあるのかも。

上司X：　そうだな。でも、攻撃者にとっては明確な金銭メリットは見えにくいよな。

ブラックピット：　恐らく、嫌がらせに近い動機なのかもしれませんね。

上司X：　しかも、特定の人への嫌がらせというより、誰でもいいから嫌がらせしてやれ、的な雰囲気だよな。

ブラックピット：　この手口が通用する、という認識がある程度広まっているんでしょうね。AI開発が広く一般的になるとともにこういう弱点が露見しているということなんでしょう。

上司X：　今回の件は、デイヴィス氏の油断もあったんだと思うよ。でも、こういう油断につけ込んだ攻撃が横行するのもいただけないな。結局のところは、重要なセキュリティ対策というより基本的なデフォルトの設定をキッチリ見直すことこそ重要なのかもしれん。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。