APIキーがアカウント毎に紐付けられてればいいんだけどね
浪人付けて荒らしてるみたいなケースには有効だけど
そうじゃなければ一つの漏れたキーで無限にセッションIDが発行されるから
アプリからキーを漏らさない対策をしないと意味がない