ある朝、小さなアプリ開発会社の担当者がクラウドの請求画面を開き、思わず手を止めました。前の月までほとんど使っていなかったAIの利用料が、いつのまにか数十万円に膨らんでいたからです。社内で大量に使った形跡はありません。原因は、自社のAIチャットアプリが外部から悪用され、第三者によってAIへのリクエストが大量に送られ続けていたことでした。
スマートフォンアプリにAI機能を組み込むとき、開発者はAIサービスを利用するためのAPIキー、いわば「鍵」をアプリに持たせることがあります。この鍵は利用料金の支払いに直結しているため、外部に漏れれば、その請求は鍵の持ち主に回ってきます。やっかいなのは、この鍵がアプリの中だけでなく、通信内容にそのまま含まれてしまう場合がある点です。
iOSアプリを対象に、実際にどれくらいのAPIキーが外部から取得できる状態にあるのかを調べた調査があります。本記事では、APIキーが漏れる仕組みと3つの典型パターン、そして「サーバー経由にしたのに漏れた」という落とし穴と、開発側が取れる対策を紹介します。
プレミアム会員ディスカッション
ディスカッションに参加するにはログインが必要です。
ログイン / アカウント作成 →
