Googleから請求アラートのメールが来ていました。なんだろうと思って開いてみたら、先月分の請求が1,500円くらいになってる。
アラートは¥1以上で出るように設定してあったので、最初は「¥1.500」の見間違えかな、と思ったんですが、よく見たらしっかり「¥1,500」。一瞬呆然としました。
原因を探っていくと、今はもう使っていない——というか、別の会社に管理が移っているサイトのreCAPTCHAの利用回数が、1万件を超えていました。たぶん無料で使える範囲を超えたぶんが、そのまま請求に乗ったんだと思います。
そのサイトを見てみると、お問い合わせフォームだけ別ドメインになっているみたい。数ヶ月前に対策の見積もりが来ていたので、たぶん別のところに頼んだんでしょう。フォームが別になっているのに1万件も評価されているということは、古いURLが残ったまま、どこかから送信され続けているんだと思います。
不正利用の可能性も消えないので、念のためキーごと削除しました。ついでに、使ってなさそうなキーも、使われていないか確認したうえで全部削除。
請求の内訳を見ると、請求に至るほどではないけど、Maps APIのキーも地味に使われていました。この際なので、いらなそうなキーは整理しておきたいところです。
それにしても、Googleのサービスは課金の形態も仕様も管理画面も、とにかく分かりづらい。あちこちページを遷移しないといけないのに、そのたびにローディング表示が挟まるので、体験としてもなかなかしんどいです・・・。
ついでに、YouTube APIのキーを使っている箇所も見つけました。回数は少ないんですが、サイト側の制限がかかっていなかったので、調べてみたら自分が運用しているサイトのトップで使っているキーでした。キャッシュで1時間に最大1回しか叩かないので、課金的に問題になることはなさそう。でも流出のリスクを考えて、ドメインで制限をかけておきました。
このキーの在処を探すのに、yaziのS(ripgrep検索)を使ってみました。APIキーの文字列でコードベースをまるっと検索する感じです。Sを使うのは初めてだったんですが、これが便利でした。
