※ 2021年1月22日 更新
Twilio社より、変更期日が1月26日から変更になった旨アナウンスがございました。
それを受けて一部内容を修正いたしました。変更になったのは変更期日のみで、ご対応いただく内容に変化はございません。
この度 Twilio SendGrid では、セキュリティ強化を目的として、サービスご利用中の全アカウント(サブユーザ、Teammates含む)に対し、APIキー認証および二要素認証を必須に変更することになりました。
Twilio SendGridのご利用に影響が出る可能性がある非常に重要な変更となりますので、対象のお客様は、以下をご確認の上、期日までの対応をお願いいたします。
変更内容
以下が必須に変更されます。
- Web APIおよびSMTPリクエストのAPIキー認証
- app.sendgrid.com/login からログインする際の二要素認証
変更期日
変更のタイミングはプランによって異なります(以下、いずれも日本時間)。
※ご利用中のプランはマイページで確認いただけます。
- Free, Essentials, Bronzeプラン: 2021年2月18日 午前1時
- Pro, Premier, Silver, Gold, Platinum, High Volumeプラン: 2021年3月25日 午前1時
対応が必要なお客様
以下のいずれかに該当する場合、後述の対応内容の実施をお願いいたします。
- Username/パスワード認証を使用して、Web APIもしくはSMTPを利用している
- app.sendgrid.com/loginの二要素認証を有効にしていない
対応内容
- Web APIおよびSMTPの認証方法を、Username/パスワード認証からAPIキー認証に変更する
- (1の完了後、)SendGridダッシュボードに対する二要素認証を有効化する
二要素認証が有効になると同時に、Username/パスワード認証は拒否されるようになるため、必ず上記1→2の手順で実施をお願いいたします。
対応されていない場合
期日までに対応が完了していない場合、アクセス時の挙動が以下のように変更されます。
- Web APIおよびSMTPリクエスト時、認証エラーとなりリクエストが失敗する
- SendGridダッシュボードログイン時、二要素認証設定画面が強制的に表示され、完了まではログインできない
よくあるご質問
Q. 私はUsername/パスワード認証を使用していますか?
A. 送信方法によって確認方法が異なります。
SMTPの場合
接続情報に利用しているSMTPユーザ名をご確認ください。SMTPユーザ名に”apikey”という文字列が指定されていた場合はAPIキーを利用して認証されています。
参考:SMTPの使用方法
Web API v3の場合
最新の公式ライブラリを使用している場合は、Web API v3が利用されており、かつAPIキー認証が自動的に利用されているため対応の必要はありません。
公式ライブラリを使用していない場合は、呼び出し元の認証ヘッダをご確認ください。”Bearer”の文字列が含まれていればAPIキー認証を利用しており、”Basic”の文字列が含まれていればUsername/パスワード認証を利用しています。
Web API v2の場合
メール送信API以外のWeb API v2は、Username/パスワード認証が使用されています。
メール送信APIを利用している場合は、上記Web API v3と同様の方法で、認証ヘッダをご確認ください。
Q. APIキーを利用する際、注意することはありますか?
A. Username/パスワード認証からAPIキー認証への移行は、二要素認証を有効にする前に実施してください。二要素認証が有効になった場合、Username/パスワード認証を使用したWeb APIおよびSMTPリクエストは拒否されるようになるためです。
また、APIキーには、必要最低限の権限を付与することを推奨しています。すべての権限を持つ1つのAPIキーを使い回すのではなく、なるべく少ない権限を持つ複数のAPIキーを作成して使い分けることをお勧めします。
参考:SendGridのアカウントとレピュテーションを保護する7つのベストプラクティス
Q. なぜこの変更が必要なのでしょうか?
A. セキュリティ強度を高め、お客様のアカウントを安全に保護するためです。
近年、Twilio SendGridを利用したフィッシングメールの送信が増加しており、深刻な被害が出ております。その多くは、十分に保護されていないアカウントを悪意のある攻撃者が乗っ取ることによって発生しています。これまでも、アカウントを不正利用から守る対策の実施をお願いして参りましたが、乗っ取りによる被害があとを絶たないため、全アカウントに対して、アカウント保護のための設定を必須にせざるを得ないとTwilio社では判断いたしました。
Q. Twilio SendGridから認証情報が漏洩したのでしょうか?
A. Twilio SendGridから認証情報は漏洩しておりません。
強度の低いパスワードの利用や他サービスとの使い回し、公開リポジトリへの意図しないアップロードにより、攻撃者に認証情報が知られるケースが多く、それを防ぐために今回の変更を実施いたします。
Q. 複数名で1アカウントを利用している場合、二要素認証はどうやって設定すれば良いでしょうか?
A. Teammatesを利用してください。
Teammateごとに、二要素認証の設定が可能です。Teammateでログインする場合は、app.sendgrid.com/loginからアクセスする必要があります。
なお、Free/Essentialsプランでは、作成可能なTeammate数が2つという制限があるため、4名以上でアカウントを共有したい場合は、Proプランにアップグレードする必要があります。
Q. サブユーザも二要素認証の設定が必須でしょうか?
A. app.sendgrid.com/login からログインするすべてのアカウント(サブユーザ、Teammate)で二要素認証の設定が必須です。
Q. 二要素認証が正しく設定できているか不安です。どうやって確認すれば良いでしょうか?
A. 設定画面が以下のように変更されていたら正しく設定されています。
二要素認証が設定されている場合
二要素認証が設定されていない場合
Q. 変更期限を延長することはできますか?
A. 期限を変更することはできません。プラットフォーム全体の安全性を高めるための措置であるため、延長は受け付けられないこと、何卒ご了承ください。