「AIに頼めば誰でもアプリが作れる時代」が来ました。しかしその手軽さの裏に、エンジニア経験のない人が見落としがちな落とし穴があります。それがAPIキーの公開というリスクです。最悪の場合、一夜にして数十万円以上の請求が届くことも現実に起きています。
1. APIキーとは何か
APIキーとは、外部サービスの機能を利用するための秘密の認証コードです。クレジットカード番号に近いイメージで考えてください。このコードさえあれば、誰でもあなたのアカウントを使って外部サービスを呼び出すことができます。
通常、外部サービスの利用料金はAPIを呼び出した回数・文字数に応じて課金されます。つまりAPIキーが第三者に渡れば、その人が外部サービスを使い放題になり、請求があなたに届く仕組みになっています。
APIキーは「知っていれば誰でも使える」シンプルな仕組みです。流出した瞬間から、攻撃者は高度な技術を使わなくてもあなたのアカウントを悪用できます。
2. 非エンジニアがやりがちな3つのミス
① フロントエンドのコードにAPIキーを直書きする
ChatやAIチャットボットをWebサイトに設置しようとするとき、最も多いミスがJavaScriptのコードの中にAPIキーをそのまま書いてしまうことです。
WebブラウザはHTMLとJavaScriptを誰でも閲覧できる形で配信します。「F12キー」や「ページのソースを表示」で、サイトを見たすべての人がAPIキーを確認できてしまいます。
② GitHubなど公開リポジトリにAPIキーを含めたままコードをアップロードする
AIの力を借りてアプリを作ったあと、「GitHubに公開してポートフォリオに!」と思い立ってコードをアップロードするケースがあります。このとき、コードの中にAPIキーが含まれたままだと即座に第三者に読まれます。
GitHubなどのコードホスティングサービスは、公開されたリポジトリを常時スキャンするボットが存在しており、アップロードから数分以内にAPIキーが検出・悪用されることが報告されています。
③ 「とりあえず動いた」状態でサービスをリリースしてしまう
バイブコーディング(AIに自然言語で指示してコードを生成する開発スタイル)が普及したことで、プログラミング経験ゼロの人でも動くアプリを短時間で作れるようになりました。しかしAIが生成するコードは「動くこと」を優先するため、セキュリティ的に問題のある実装(APIキーのハードコードなど)が含まれることがあります。
AIは明示的に指示しない限り、セキュリティより動作の簡便さを優先することがあります。「APIキーは環境変数で管理して」と明示的に指示しない場合、コードに直書きされたものが出力されることがあります。
3. 実際に起きた被害事例
【事例①】AWSキーをGitHubに誤ってアップロード → 仮想通貨マイニングに悪用
ある開発者がAWSのAPIキーを誤って公開リポジトリにプッシュしたところ、数分以内に大量のサーバーインスタンスが起動され、仮想通貨のマイニングに悪用されました。
被害額:約6,000ドル以上(約90万円超)
【事例②】AnthropicのAPIキーが窃取され短時間で大量消費
2025年4月、個人開発者がAnthropicのAPIキーを何者かに窃取され、Claude 3.7 Sonnetを短時間で大量に不正利用される被害に遭いました。GitHubからの漏洩ではなく、スパイウェアによる窃取が疑われています。自動トップアップを設定していなかったため被害は約30ドルで収まりましたが、自動課金をオンにしていれば数万円以上の被害になっていたと本人が述べています。
被害額:約30ドル(自動課金オフだったため最小限に抑制)
【事例③】OpenAI APIキー漏洩で一晩で5,400ドル超の損失
2025年8月、ある開発チームがOpenAIのAPIキーを流出させた結果、月額制限の2,500ドルを設定していたにもかかわらず、一夜にして5,400ドル以上の変動が発生しました。OpenAIサポートへの問い合わせを経て今回は返金されましたが、返金は保証されたものではないと強調されています。
被害額:5,400ドル超(約80万円超)
【事例④】公開WebサイトのソースコードからAPIキーが大量発見
セキュリティ企業Truffle Securityの調査(2026年)では、公開ウェブ上のGoogle Cloud APIキーが2,863件発見されました。影響範囲には大手金融機関やセキュリティ企業まで含まれており、発見したキーを使うだけで1日あたり数千ドル規模の請求を発生させることが可能だったと報告されています。
影響:2,863件の有効なキーが公開状態で発見
4. なぜ「すぐ悪用される」のか
「公開してもすぐには気づかれないだろう」と思うかもしれませんが、現実はそうではありません。GitHubなどのコードホスティングサービスやWebサイト全体を常時スキャンし、APIキーを自動抽出するプログラムが多数稼働しています。
セキュリティ企業GitGuardianの調査によれば、2024年にGitHub上で検出されたハードコードされた機密情報は約2,380万件にのぼり、前年比25%増という深刻な状況です。さらに2022年に漏洩した情報の70%が2025年時点でも有効なまま放置されていたと報告されています。
流出経路別の悪用スピードの目安
・GitHubへの誤コミット → 数分以内に悪用開始。仮想通貨マイニングやAPI大量利用に使われるケースが多い。 ・フロントエンドコードへの埋め込み → 公開直後から誰でも閲覧・コピーが可能な状態になる。 ・スパイウェアによる窃取 → 即時〜数時間以内にクレジットが消費され始める。
5. 今すぐできる正しい対策
最も重要な原則:APIキーはフロントエンドに置かない
APIキーをブラウザで実行されるコード(HTML・JavaScript)に書かないことが最低限のルールです。APIキーを使った処理は必ずサーバー側(バックエンド)で行う必要があります。
安全な構成のイメージ: ユーザーのブラウザ → あなたのサーバー(APIキーを保管)→ AIサービス この構成にすることで、ブラウザにはAPIキーが届かず、誰にも見られません。
非エンジニアが取れる現実的な対策6ステップ
ステップ1:利用上限額(月額キャップ)を必ず設定する OpenAI・Anthropic・Googleいずれのサービスも、月ごとの利用上限を設定できます。万が一流出しても被害を限定できます。自動トップアップは原則オフにしてください。
ステップ2:使用量アラートを設定する 一定金額を超えたらメール通知が届くよう設定します。異常を早期に発見できます。
ステップ3:コードをGitHubに上げる前にAPIキーが含まれていないか確認する コード全体を検索して「sk-」「api_key」「API_KEY」などのキーワードが含まれていないかチェックしてください。
ステップ4:AIに「APIキーを環境変数で管理して」と明示する バイブコーディングでアプリを作る際、「APIキーはコードに直書きせず環境変数で管理すること」を最初から指示に含めましょう。
ステップ5:エンジニアにセキュリティレビューを依頼する 公開・リリース前に、エンジニアにコードを確認してもらうことを強くおすすめします。APIキーの管理方法だけでなく、全体的な設計の問題も見つけられます。
ステップ6:流出してしまったらすぐにキーを削除・再発行する 「もしかして漏れたかも」と思ったら、即座に管理コンソールからキーを削除してください。躊躇せず、すぐに行動することが被害を最小化する唯一の方法です。
6. 公開前セルフチェックリスト
以下の項目をすべて確認してからリリースしてください。
・HTMLやJavaScriptのファイルにAPIキーを直接書いていない ・GitHubなどに上げるコードにAPIキーが含まれていないか検索した ・APIサービスの月額利用上限を設定した ・自動トップアップをオフにした ・使用量アラートのメール通知を設定した ・APIキーを用途別(開発用・本番用)に分けている ・エンジニアにセキュリティ観点でのコードレビューを依頼した
まとめ
AIの普及により「誰でもアプリが作れる時代」になったことは素晴らしいことです。しかしAPIキーの管理はクレジットカードの管理と同じレベルの注意が必要です。
実際の被害事例が示す通り、APIキーが公開されてから悪用されるまでの時間は数分以内という例もあります。「まだ誰も見ていないだろう」という油断が、数十万円の損失につながりかねません。
AIを使ったアプリ制作の可能性はこれからも広がります。ぜひセキュリティの基礎知識も一緒に身につけながら、安全にものづくりを楽しんでください。
今日すぐできること:すでに公開中のアプリやWebサイトをお持ちの方は、ブラウザで「F12 → Sourcesタブ」を開き、自分のサイトのJavaScriptファイルにAPIキーが含まれていないか確認してみましょう。