第三者があなたのTwilioアカウントを使用していませんか?あなたのAuthトークンを保護するためのベストプラクティス

読む所要時間: 7 分

December 04, 2018
執筆者
Shelley Wu
Twilion
Stephenie Minami Nakajima
Twilion
レビュー担当者
Kazuo Sugiyama
Twilion

第三者があなたのTwilioアカウントを使用していませんか?あなたのAuthトークンを保護するためのベストプラクティス

この記事はShelly Wuこちらで公開した記事(英語)を日本語化したものです。

全世界で50億人を超える人が携帯電話を利用している中、攻撃者は、接続デバイスを悪用して無防備な人々を騙す方法を常に模索しています。スミッシング(SMSを使用して情報をソーシャルエンジニアリングする攻撃)は、電気通信事業者も対策を講じていますが、一般化しています。信頼できる事業者などを装った悪意のある人物が、テキストメッセージを送信し、パスワードやクレジットカード番号などの個人情報を聞き出すのです。攻撃者にとっては、数人でも罠にかかれば成功を意味します。

Twilioでは、セキュリティと信頼を極めて重要視しており、スミッシング攻撃からお客様とお客様のユーザーを保護したいと考えています。本稿では、Twilioのアカウントを保護するためのベストプラクティスをご紹介します。

Twilioで不正行為とフィッシングを防止するためのベストプラクティス

TwilioのAuthトークンが盗まれれば、そのアカウントを使ってなりすまし、勝手に電話をかける、IDを使用してメッセージを送信する、ログをダウンロードする、Twilio電話番号のURL設定を変更するなど、悪意のあるユーザーは疑われることなく、不正利用を繰り返すことができてしまいます。

Authトークンが悪用されると、自身のTwilioアカウントに高額の料金が請求される可能性があります。さらに、あなたのAuthトークンが悪意のあるユーザーの手に渡れば、あなたの評判が取り返しのつかないほど損なわれ、顧客との間に築かれた信頼を損なう可能性もあります。

Twilioでは、このような状況に対処するために、不正なアカウント行動の検出制御を強化しています。不正なアカウントアクセスを回避するために講じることができる予防措置について重点的に説明し、次に、TwilioのAuthトークンを不正使用から守ることに役立つ基本的なセキュリティ対策について紹介します。

Authトークンを安全に保管する

Authトークンの配布、インターネットへの保存、公開はしないでください。Authトークンはパスワードと同等の重要性を持つため、同様に慎重に扱ってください。

キーやトークンをハードコードしない

アプリケーションにキーやトークンをハードコードしないください。アプリを逆コンパイルすることにより、これらの認証情報を簡単に入手できるため、アプリの開発中に、このような漏洩をしっかり回避するためにも、TwilioのAPIコールはクライアントではなくサーバーから実行してください。

認証情報をパブリックリポジトリにプッシュしない

トークンをGitHubのパブリックリポジトリにプッシュすることは、絶対にしないください。誤ってプッシュした場合は、すぐにトークンをローテーションしてください。ローテーション方法は次のトピックでご紹介しています。Authトークンを環境変数として設定し、コードからはこの変数を参照します。これにより、Authトークンが公開されるのを防ぎ、不正な環境からAPIコールをコードで実行できなくなります。

トークンを定期的にローテーションする

定期的にAuthトークンを変更します。これにより、トークンが侵害されても、そのトークンをフィッシングやその他の犯罪行為に悪用できなくなります。一般的な経験則では、認証情報を歯ブラシのように扱ってください。3か月ごとに交換(ローテーション)し、他のユーザーとは共有しないでください。

制限付きスコープを設定したトークンを作成する

SIDとAuthトークンを使用する代わりに、一層きめ細い認証メカニズムにするために、時間ベースのAPIアクセストークンの使用を検討してください。

自身のアカウントを監視する

アカウントを監視し、覚えのない請求に注意してください。

Authトークンを保護することは、適切なセキュリティ戦略全般の中核となる部分です。Twilioでは、信頼の構築と維持に取り組んでおり、適切なツールとアドバイスをお客様に提供し、アプリケーションを保護し、データを管理していただきたいと考えています。詳細については、Twilioドキュメントの「Twilioアカウントセキュリティ」を参照してください。

不正行為とフィッシングを設計により回避する

Webアプリケーションの適切なセキュリティは、ここで解説したシンプルなベストプラクティスから始まります。アカウントの認証情報を保護し、あらゆる不正行為を警戒することにより、あなたの顧客、評判、収益を守ることができます。

不正行為の回避とアカウントの保護の詳細については、不正対策開発者ガイドをご参照ください。

万が一、アカウントの乗っ取りに遭ったお客様は、ヘルプセンターの「アカウントの乗っ取りに遭ったお客様への対応について」をご参照ください。

関連投稿

関連リソース

A newspaper article

Twilio Docs

APIからSDK、サンプルアプリまで

言語とプラットフォームの API リファレンス ドキュメント、SDK、ヘルパー ライブラリ、クイックスタート、チュートリアル。
An Open book

リソース・センター

最新の電子ブック、業界レポート、ウェビナー

顧客エンゲージメントの専門家から学び、自社のコミュニケーションを改善しましょう。
User group reactions

Ahoy

Twilio の開発者コミュニティ ハブ

コミュニケーションとデジタル エンゲージメント エクスペリエンスを構築するためのベスト プラクティス、コード サンプル、インスピレーション。