スタンフォード大学博士課程のヌルッラー・デミール氏らの研究チームは、TruffleHogを用いて約1000万件のウェブサイトをスキャンし、1万件のウェブページ上に1,748件の有効なAPI認証情報を発見した。
研究結果は2026年3月12日にプレプリント論文「Keys on Doormats: Exposed API Credentials on the Web」として公開された。対象サービスはAWS、GitHub、Stripe、OpenAIなどで、AWSが全体の16%以上を占め、4,693件以上のサイトで確認された。
露出の84%はJavaScriptファイルに存在し、そのうち62%はWebpackなどのビルドツールによるバンドルに含まれていた。影響を受けた組織にはグローバルなシステム上重要な金融機関やドローン用ファームウェアメーカーが含まれる。認証情報の平均露出期間は12ヶ月で、研究チームが通知を開始してから約2週間で件数は半減した。
共著者はUC Davisのヤシュ・ヴェカリア氏、TUデルフト/スタンフォードのゲオルギオス・スマラグダキス氏、スタンフォードのザキール・デュルメリック氏。
From: 
Security boffins scoured the web and found hundreds of valid API keys
【編集部解説】
今回の研究が示す重要な要因は、現代のフロントエンド開発の構造的な盲点です。WebpackやViteといったビルドツールは、複雑なJavaScriptコードを圧縮・統合してウェブページに配信するのですが、その過程で、本来サーバー側にのみ存在すべき機密情報(APIキー)がクライアント側のバンドルファイルに混入してしまうことがあります。つまり、ウェブサイトを訪れた人なら誰でもブラウザの開発者ツールを開くだけで、その情報を目にできる状態になっているのです。
この問題がこれほど深刻なのは、「公開されている」という認識が開発者本人にないからです。今回の研究では、通知を受けた開発者の相当数が自身の露出状況をまったく把握していなかったと報告されています。さらに、今回検証対象となったのは14サービスプロバイダーに限定されており、研究チーム自身が「実際の露出数はさらに多いと確信している」と述べている点も看過できません。
APIキーはパスワードとは性質が異なります。パスワードは「人間が認証するための鍵」ですが、APIキーは「プログラムが自動的に認証するための鍵」です。一度悪意ある者に取得されれば、クラウドインフラへの侵入、データベースへのアクセス、決済処理の乗っ取り、さらには大規模なクラウドリソースの不正利用による高額請求まで、さまざまな被害が自動・大規模に引き起こされる可能性があります。
この問題はすでに孤立した事件ではありません。セキュリティ企業のTruffle Securityは2026年2月、Google CloudのプロジェクトでGenerative Language API(Gemini API)を有効化すると、それまで「公開しても安全」と案内されていた既存のAPIキーが、開発者への明確な通知なしにGemini APIへアクセス可能になる場合があると報告しています。「安全だった鍵が、いつの間にか危険になっていた」という事態は、API経済が拡大するなかで今後も繰り返されうるリスクとして認識する必要があります。
ポジティブな側面として、今回の研究はいくつかの重要な示唆を与えてくれます。TruffleHogのような検出ツールをCI/CDパイプライン(コードを本番環境に配信するまでの自動化プロセス)に組み込み、ビルドの時点で認証情報の混入を検知・遮断する「シフトレフト」のアプローチが有効です。また、フロントエンドとバックエンドの間に仲介層を設ける「BFF(Backend for Frontend)パターン」も、根本的な解決策として注目されています。
長期的な視点でいえば、この研究が規制面に与える影響も無視できないでしょう。欧州ではNIS2指令、米国ではサイバーセキュリティ関連の大統領令など、クラウドや重要インフラのセキュリティ要件は年々厳格化されています。「グローバルなシステム上重要な金融機関」が認証情報を公開状態で放置していたという事実は、金融規制当局が開発プロセスのセキュリティ審査に踏み込む契機になり得ます。
本研究のタイトル「Keys on Doormats(玄関マットの下の鍵)」は的を射た比喩です。施錠しているつもりで、実は鍵を玄関マットの下に置いているにすぎない——。AIが生成するコードの量が急増し、開発スピードが加速する現代において、「何が外部に公開されているか」を継続的に把握・監視する仕組みを持つことは、もはや専門家だけの課題ではありません。
【用語解説】
APIキー(API Key)
アプリケーションがほかのサービスやシステムと連携する際に使う認証用の文字列。パスワードに似ているが、プログラムが自動的に認証するために使う点が異なる。一度流出すると、人間の操作を介さずに大量・高速でリソースにアクセスされるリスクがある。
プレプリント論文
学術誌による査読(専門家による審査)が完了する前に公開される論文の草稿。速報性を重視してarXivなどのプラットフォームで公開されることが多く、内容は査読済み論文とは異なる場合もある。今回の論文はこの段階で公開されたものだ。
Webpackバンドル
Webpackは、複数のJavaScriptファイルや画像などを一つまたは少数のファイルにまとめる(バンドルする)ビルドツール。まとめる過程で、開発者が意図せず機密情報(APIキーなど)をバンドルファイルに含めてしまうことがある。
CI/CDパイプライン
ソフトウェア開発において、コードの変更から本番環境への配信までを自動化した一連のプロセス。「CI(継続的インテグレーション)」と「CD(継続的デリバリー/デプロイ)」の略。このパイプラインにセキュリティスキャンを組み込むことで、認証情報の混入を早期に検知できる。
シフトレフト(Shift Left)
ソフトウェア開発プロセスの「左側(早期)」にセキュリティ対策を組み込む考え方。リリース後に問題を発見・修正するのではなく、開発・ビルドの段階で問題を検知・防止することを目的とする。
BFF(Backend for Frontend)パターン
フロントエンド(ブラウザ上で動くコード)とバックエンドの間に専用の中間層を設けるアーキテクチャ設計手法。APIキーなどの機密情報を中間層のサーバーに保持することで、ブラウザからユーザーに見えるコードに機密情報が含まれないようにする。
G-SIFI(グローバルなシステム上重要な金融機関)
Global Systemically Important Financial Institutionの略。経営破綻した場合に世界の金融システム全体に深刻な影響を与えるとみなされた金融機関を指す。
NIS2指令
EU(欧州連合)のサイバーセキュリティに関する指令。2023年1月に発効し、加盟国は2024年10月17日までに国内法化することが求められた。重要分野の中規模・大規模事業者に対し、セキュリティリスク管理や重大事故の報告義務を課す。
【参考リンク】
Truffle Security / TruffleHog(外部)
APIキーや認証情報の漏洩を検出・検証するオープンソースツール。800種超の認証情報タイプに対応し、本研究のスキャンにも使用された。
AWS(Amazon Web Services)(外部)
Amazonが提供するクラウドコンピューティングサービス群。本研究で全露出の16%以上、4,693件超のサイトで認証情報の露出が確認された。
GitHub(外部)
Microsoftが運営するソースコード管理・共有プラットフォーム。露出したアクセストークンはリポジトリへの読み書き権限を持つ場合がある。
Stripe(外部)
オンライン決済インフラを提供する米国企業。APIキーが流出した場合、決済処理の乗っ取りや顧客データへの不正アクセスが懸念される。
OpenAI(外部)
ChatGPTなどのAIモデルを開発・提供する米国企業。APIキー露出は不正なAIサービス利用や高額請求リスクに直結する。
Cloudflare(外部)
ウェブセキュリティとパフォーマンス最適化サービスを提供する米国企業。本研究でAWSと並び露出件数が多かったサービスだ。
【参考記事】
Keys on Doormats: Exposed API Credentials on the Web(arXiv)(外部)
本研究の一次論文。1,748件の有効API認証情報を特定した手法・数値・分布を詳述。AWS16%超・JavaScript84%などのデータを収録。
1,748 Exposed API Keys Found on 10,000 Websites(World Today News)(外部)
The Registerの報道をもとにWebpackバンドルの漏洩メカニズムを深掘り。CI/CDパイプラインへのスキャン組み込みなど具体的対策も論じる。
Google API Keys Weren’t Secrets. But then Gemini Changed the Rules.(Truffle Security)(外部)
2026年2月公開。Common Crawlから2,863件の有効なGoogle APIキーを発見。「安全な鍵が危険化する」構造的問題を報告。
Google API keys weren’t secrets – until Gemini changed the rules(ppc.land)(外部)
Geminiの処理規模と、APIキー漏洩で開発者が48時間で8万2,000ドルを請求された実例を数値で示した詳細分析記事。
Stop Leaking API Keys: The Backend for Frontend (BFF) Pattern Explained(GitGuardian)(外部)
156,000超のiOSアプリの71%が認証情報を漏洩しているとのデータを引用し、BFFパターンによる根本的解決策を解説。
【関連記事】
Google APIキーがGeminiの認証情報に——公開ウェブ上で約3,000件の有効キーが発見される
Truffle Securityが2026年2月に公開した関連研究。GoogleのAPIキーがGemini API有効化を機に、開発者への通知なしに機密エンドポイントへのアクセス権を取得するようになっていた問題を報告。
【編集部後記】
「自分には関係ない」と感じた方こそ、少し立ち止まって考えてみてください。今日使ったサービスのどこかに、こうした鍵が眠っているかもしれません。私たちも同じ問いを持ちながらこの記事を書きました。
あなたの職場やプロダクトで、「何が外部に見えているか」を意識したことはありますか?
