Google CloudのAPIキーを漏洩したらGoogleからメールがきた

GoogleがGitHubと提携している？

メールの内容

code:text

件名

Google Cloud Platform または API プロジェクト PROJECT_NAME の認証情報が不正使用された可能性があります

本文

次の Google Cloud Platform プロジェクトに関連付けられている Google API キーが一般公開されていることが検出されました。

プロジェクト PROJECT_NAME、API キー xxxxx

該当する API キーは、一般公開のソースまたはウェブサイトに誤って公開されてしまったようです（GitHub などのサービスに認証情報が誤ってアップロードされてしまったなど）。

プロジェクトまたはアカウントに関連付けられているキーの保護は、オーナーであるお客様の責任で行っていただく必要があります。そのため、次の手順に沿ってこの状況を是正されることをおすすめします。

意図的にキーを公開する（または一般公開されるキーを使用せざるをえない）場合は、次のようにします。

Google Cloud Console にログインし、アカウントの API と請求のアクティビティを参照して使用状況が想定と矛盾しないことを確認します。

API キーに API キー制限を追加します（該当する場合）。

このキーを公開「しない」場合は、次のようにします。

不正使用された API キーを再生成します。Cloud Console で 認証情報 を検索し、漏洩したキーを編集し、キーを再生成 ボタンを使用してキーをローテーションさせます。詳しい手順については、漏洩した GCP 認証情報の処理方法をご覧ください。

API キーが、公開されているソースコード システムに埋め込まれていないこと、ダウンロード ディレクトリに保存されていないこと、その他の方法で誤って共有されていないことを、すぐに確認します。

API キーに API キー制限を追加します（該当する場合）。

Google では、お客様の Google Cloud Platform アカウントのセキュリティを最優先事項としております。

GitGuardianというサービスからも漏洩18分後にメールがきた

メールの内容

code:guardian_mail.txt

Hello @kadoyau

GitGuardian detected an API key from Google in the following commit from REPOSITORY/NAME pushed at 2019-06-08T15:03:01Z.

GitGuardian, or "GG", is a "Good Guy" bot scanning in real time GitHub commits for sensitive information.

Once you have pushed sensitive information to GitHub, this information is public and should be considered compromised. We just open sourced our GitHub repository to help developers take appropriate actions. Would love a star! :)

Accidents happened to the best of us and will continue to happen. Sign up to our service to be notified if this happens again. We got a free tier for individual developers !