第三者があなたのTwilioアカウントを使用していませんか？あなたの認証トークンを保護するためのベストプラクティス

全世界で50億人を超える人が携帯電話を利用している中、攻撃者は、接続デバイスを悪用して無防備な人々を騙す方法を常に模索しています。スミッシング（SMSを使用して情報をソーシャルエンジニアリングする攻撃）は、電気通信事業者も対策を講じていますが、一般化しています。信頼できる事業者などを装う悪意のあるユーザーが、テキストメッセージを送信し、パスワードやクレジットカード番号などの個人情報を聞き出すのです。特に、攻撃者が、盗まれたTwilioアカウントの認証情報を使用してメッセージを送信している場合、数人でも罠にかかれば大成功です。

Twilioでは、信頼を極めて重要視しており、スミッシング攻撃からお客様とお客様のユーザーを保護したいと考えています。この投稿では、お客様のアカウントを保護するためのベストプラクティスをいくつか紹介します。

Twilioで不正行為とフィッシングを防止するためのベストプラクティス

Twilio認証トークンが盗まれれば、そのアカウントを使用してなりすまし、勝手に電話をかける、信頼できるIDを使用してメッセージを送信する、ログをダウンロードする、Twilio電話番号のURL設定を変更するなど、不正ユーザーは疑われることなく、好きなことができるのです。 

認証トークンが悪用されると、すぐに自身のTwilioアカウントに高額の料金が請求される可能性があります。さらに悪いことに、あなたの認証トークンが悪人の手に渡れば、あなたの評判が取り返しのつかないほど損なわれ、自身と顧客の間に築かれた信頼を損なう可能性もあります。

Twilioでは、このような状況に対処するために、不正なアカウント行動の検出制御を強化しました。最初に、不正なアカウントアクセスを回避するために講じることができる予防措置について重点的に説明し、次に、お客様のTwilio認証トークンを不正使用から守るのに役立つ基本的なセキュリティ対策について紹介します。 

認証トークンを安全に保管する

認証トークンの配布、インターネットへの保存、公開はしないでください。認証トークンはパスワードと全く同じものであるため、パスワードと同様に慎重に扱いましょう。

キーやトークンをハードコーディングしない

アプリにキーやトークンをハードコーディングすることはしないください。アプリを逆コンパイルすることにより、これらの認証情報を簡単に入手できるため、アプリの開発中に、このような漏洩を確実に回避するためにも、TwilioのAPIコールはクライアントではなくサーバーから実行してください。

認証情報をパブリックリポジトリにプッシュしない

トークンをGitHubのパブリックリポジトリにプッシュすることは、絶対にしないください。意図せずプッシュした場合は、すぐにトークンをローテーションしてください（次のヒントを参照）。認証トークンを環境変数として設定し、コードからはこの変数を参照します。これにより、認証トークンが公開されるのを防ぎ、不正な環境からAPIコールをコードで実行できなくなります。

トークンを定期的にローテーションする

定期的に認証トークンを変更します。これにより、トークンが侵害されても、そのトークンをフィッシングやその他の犯罪行為に悪用できなくなります。一般的な経験則では、認証情報を歯ブラシのように扱いましょう。3か月ごとに交換（ローテーション）し、他のユーザーとは共有しないでください。 

制限付きスコープを設定したトークンを作成する

SIDと認証トークンを使用する代わりに、一層きめ細い認証メカニズムにするために、時間ベースのAPIアクセストークンの使用を検討してください。

自身のアカウントを監視する

アカウントを監視し、覚えのない請求に注意してください。

認証トークンを保護することは、適切なセキュリティ戦略全般の中核となる部分です。Twilioでは、信頼の構築と維持に取り組んでおり、適切なツールとアドバイスをお客様に提供し、アプリを適切に保護し、データを管理していただきたいと考えています。詳細については、ユーザー認証とIDのドキュメントを参照してください。

不正行為とフィッシングを設計により回避する

Webアプリケーションの適切なセキュリティは、ここで概説したシンプルなベストプラクティスから始まります。お客様のアカウントの認証情報を保護し、あらゆる不正行為を警戒することにより、お客様の顧客、評判、収益を守ることができます。

不正行為の回避とアカウントの保護の詳細については、不正対策開発者ガイドを参照してください。