AIの無料トライアルが狙われる理由：「トークン窃盗」とは何か

重要なのは、盗まれるものが必ずしもパスワードではない点だ。SpyCloudは、2025年に露出したAPIキーやトークンを1,810万件回収したと報告し、攻撃者がユーザー名とパスワードだけでなく、APIキー、セッショントークン、自動化用認証情報といった「認証済みアクセス」そのものを狙う流れを指摘している 。

手口1：偽アカウントで無料クレジットを吸い上げる

AIスタートアップは、利用開始のハードルを下げるために、セルフサーブ登録、即時デモ、無料クレジット、すぐ使えるAPIアクセスを用意しがちだ。成長戦略としては自然だが、計算資源が高価なAIでは、この入り口がそのまま不正利用の窓口になる 。

Fortuneによると、StripeのCEOであるPatrick Collison氏は、ある文脈で、トークン窃盗犯が一部AI企業の新規顧客登録の大きな割合を占め、6件に1件に達していると述べた 。この数字を業界全体の平均値として扱うべきではないが、AIのオンボーディング導線が詐欺の標的になっていることを示す強いサインではある。

無料トライアルは、もはや単なるマーケティング費用ではない。付与されたクレジットが実際のモデル推論を動かせるなら、悪用された1アカウントごとに本物の計算コストが発生する 。

手口2：APIキーを盗んで「LLMjacking」する

もう一つの典型が、AI APIキーの窃取だ。攻撃者は漏えいしたAPIキーを見つけるか盗み出し、被害者のアカウントでモデルを走らせる。この種の攻撃は、しばしばLLMjackingと呼ばれる 。

あるLLMjackingの解説では、通常の月間OpenAI請求額が約400ドルだったスタートアップが、APIキーの露出後に6万7,000ドルの請求を受けた事例が紹介されている。そのキーは公開GitHubリポジトリに11日間置かれており、コミットから数分で自動ボットに発見されたという 。

別の防御ガイドは、この手口が単発のキー盗難から、AIプロバイダーやクラウドAIサービスを狙う、より組織化された不正利用へ広がっていると説明している 。

AIスタートアップほど痛手が大きい理由

従来型のSaaSで偽アカウントが作られた場合、主な損害はサポート工数の浪費や指標のゆがみかもしれない。だがAIサービスでは、偽アカウントや乗っ取られたアカウントが、すぐにGPUベースの推論、モデル提供者のクレジット、クラウド費用を消費できる 。

さらに、開発スピードの速い企業ほど認証情報が漏れやすい。CSOはWizの調査として、Forbes AI 50企業の65％で、GitHub上にAPIキーやアクセストークンを含む検証済みのシークレット漏えいが見つかったと報じている 。すべての漏えいがAIトークン窃盗に直結するわけではないが、価値の高い認証情報が開発現場から外へ出てしまう頻度を示している。

検知が難しいのは「正規の顔」をしているから

トークン窃盗は、外から見ると正規利用に見えやすい。攻撃者は有効なAPIキー、有効なセッション、あるいは作成直後の有効な新規アカウントを使っているからだ。トークン窃盗に関するブリーフィングでは、盗まれたセッションCookieやOAuthトークンなどにより、攻撃者が認証制御を回避し、正規ユーザーになりすませると警告されている 。

そのためAI企業にとって重要なのは、ログインの成否だけでなく、行動の変化を見ることだ。たとえば、作成直後のアカウントが急速にクレジットを使い切る、通常は少量しか使わないAPIキーが突然大量リクエストを送る、過去の利用履歴とかけ離れた支出が発生する——こうした兆候は、無料枠の吸い上げや漏えいキーによる高額請求という実例と一致する 。

AI企業が取るべき現実的な対策

トークン窃盗には、これ一つで解決するという特効薬はない。詐欺対策、IDセキュリティ、クラウドコスト管理が重なった問題だからだ。

無料枠にも明確なコスト上限を置く

無料クレジットは「獲得コスト」ではなく「支出リスク」として扱う必要がある。初期付与額を小さくする、利用実績や本人確認に応じて段階的に開放する、アカウント単位・キー単位の上限を設ける、レート制限をかける、利用量の急増時に通知する——こうした仕組みで被害を抑えられる 。

シークレット管理を開発プロセスに組み込む

APIキーは「漏れるもの」と考えて、開発フローの中で防ぐ必要がある。リポジトリやCI/CD環境のシークレットスキャン、キーのローテーション、最小権限の認証情報、漏えい時の即時失効は基本対策になる。AI企業でGitHub上の認証情報露出が報告されていることを踏まえれば、これは後回しにしにくい 。

ID情報と利用量を一緒に監視する

登録時の不正判定だけを見る仕組みでは、盗まれたAPIキーを見逃す可能性がある。逆に、ログインイベントだけを見るセキュリティ監視では、無料クレジットを狙う大量登録を見逃すかもしれない。アカウント年齢、クレジット消費速度、API呼び出し量、利用モデル、支出の増加ペースを組み合わせて見ることが重要だ 。

トークンを「お金に近いもの」として扱う

発想の転換も必要だ。AIのアクセス権は、希少な計算資源を解錠し、再販売され、別の不正活動の燃料にもなり得る 。つまり、トークンやクレジットは単なる技術的な認証情報ではなく、金銭的価値を持つ資産に近い。

そう考えると、支出上限、異常検知、キーのライフサイクル管理は、バックオフィス的なセキュリティ作業ではなく、AIプロダクトの中核インフラになる。

結論

AIトークン窃盗とは、AIプラットフォームのコスト計測部分を狙う不正だ。盗まれるものはAPIキー、セッショントークン、OAuthトークン、無料トライアルの残高などさまざまだが、最終的に換金・悪用されるのは有料の計算資源である 。

AIスタートアップにとって、これは単なるアカウント保護の問題ではない。利益率を直撃し、成長指標をゆがめ、十分な防御なしには無料トライアルの継続を難しくする経営課題になりつつある 。