答え公開済み16 ソース
削除後も最大23分使える?Google Cloud APIキーの“遅延失効”問題
Aikido Securityの調査によると、削除したGoogle Cloud APIキーが8〜23分間(中央値約16分)認証に成功するケースが確認された。 原因はGoogleの分散インフラにおける失効情報の伝播遅延で、削除後も一部サーバーがキーを受け付け続ける可能性がある。
1.2M0
AI プロンプト
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
Google CloudでAPIキーを削除しても、すぐに無効化されるとは限らない——。セキュリティ企業Aikido Securityの研究により、削除されたAPIキーが数分間は認証に成功し続ける場合があることが明らかになりました。
同社のテストでは、削除後も8〜23分間APIリクエストの認証が成功するケースが確認され、中央値は約16分でした。Google Cloudのコンソール上ではキーが即座に削除されたように表示されるものの、実際のバックエンドでは完全に無効化されるまで時間差が生じる可能性があります。
なぜ削除後もAPIキーが使えてしまうのか
原因は、Googleのクラウド基盤が大規模な分散システムであることにあります。APIキー削除の情報は全サーバーに同時反映されるわけではなく、インフラ全体に**段階的に伝播(propagation)**します。
その結果、
- あるサーバーではすぐにキーが拒否される
- 別のサーバーではまだ有効として扱われる
という状態が一時的に発生します。
Aikidoはこの挙動を確認するため、新しいAPIキーを作成して削除した直後から認証リクエストを繰り返し送信するテストを実施。10回の試験の結果、削除後もしばらく認証が成功し続け、最長で約23分間利用できるケースが観測されました。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人々も尋ねます
「削除後も最大23分使える?Google Cloud APIキーの“遅延失効”問題」の短い答えは何ですか?
Aikido Securityの調査によると、削除したGoogle Cloud APIキーが8〜23分間(中央値約16分)認証に成功するケースが確認された。
最初に検証する重要なポイントは何ですか?
Aikido Securityの調査によると、削除したGoogle Cloud APIキーが8〜23分間(中央値約16分)認証に成功するケースが確認された。 原因はGoogleの分散インフラにおける失効情報の伝播遅延で、削除後も一部サーバーがキーを受け付け続ける可能性がある。
次の実践では何をすればいいでしょうか?
Googleは当初これを通常の「伝播遅延」と説明したが、その後内部でP0バグとして再調査が行われている。
情報源
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments