【重要】APIキー認証および二要素認証が必須に変更されます

※ 2021年1月22日 更新

Twilio社より、変更期日が1月26日から変更になった旨アナウンスがございました。

それを受けて一部内容を修正いたしました。変更になったのは変更期日のみで、ご対応いただく内容に変化はございません。

 

この度 Twilio SendGrid では、セキュリティ強化を目的として、サービスご利用中の全アカウント(サブユーザ、Teammates含む)に対し、APIキー認証および二要素認証を必須に変更することになりました。

Twilio SendGridのご利用に影響が出る可能性がある非常に重要な変更となりますので、対象のお客様は、以下をご確認の上、期日までの対応をお願いいたします。

 

変更内容

以下が必須に変更されます。

  • Web APIおよびSMTPリクエストのAPIキー認証
  • app.sendgrid.com/login からログインする際の二要素認証

変更期日

変更のタイミングはプランによって異なります(以下、いずれも日本時間)。

※ご利用中のプランはマイページで確認いただけます。

  • Free, Essentials, Bronze, Liteプラン: 2021年2月18日 午前1時
  • Pro, Premier, Silver, Gold, Platinum, High Volumeプラン: 2021年3月25日 午前1時

対応が必要なお客様

以下のいずれかに該当する場合、後述の対応内容の実施をお願いいたします。

  • ユーザ名/パスワード認証を使用して、Web APIもしくはSMTPを利用している
  • app.sendgrid.com/loginの二要素認証を有効にしていない

対応内容

  1. Web APIおよびSMTPの認証方法を、ユーザ名/パスワード認証からAPIキー認証に変更する
  2. (1の完了後、)SendGridダッシュボードに対する二要素認証を有効化する

二要素認証が有効になると同時に、ユーザ名/パスワード認証は拒否されるようになるため、必ず上記1→2の手順で実施をお願いいたします。

 

対応されていない場合

期日までに対応が完了していない場合、アクセス時の挙動が以下のように変更されます。

  • Web APIおよびSMTPリクエスト時、認証エラーとなりリクエストが失敗する
  • SendGridダッシュボードログイン時、二要素認証設定画面が強制的に表示され、完了まではログインできない

 

よくあるご質問

Q. 私はユーザ名/パスワード認証を使用していますか?

A. 送信方法によって確認方法が異なります。

 

SMTPの場合

接続情報に利用しているユーザ名をご確認ください。ユーザ名に”apikey”という文字列が指定されていた場合はAPIキーを利用して認証されています。ユーザ名に、マイページへのログインに用いるユーザ名が指定されていた場合は、ユーザ名/パスワード認証が利用されています。

参考:SMTPの使用方法

 

Web API v3の場合

最新の公式ライブラリを使用している場合は、Web API v3が利用されており、かつAPIキー認証が自動的に利用されているため対応の必要はありません。

公式ライブラリを使用していない場合は、呼び出し元の認証ヘッダをご確認ください。”Bearer”の文字列が含まれていればAPIキー認証を利用しており、”Basic”の文字列が含まれていればユーザ名/パスワード認証を利用しています。

 

Web API v2の場合

メール送信API以外のWeb API v2は、ユーザ名/パスワード認証が使用されています。

メール送信APIを利用している場合は、上記Web API v3と同様の方法で、認証ヘッダをご確認ください。


Q. APIキーを利用する際、注意することはありますか?

A. ユーザ名/パスワード認証からAPIキー認証への移行は、二要素認証を有効にする前に実施してください。二要素認証が有効になった場合、ユーザ名/パスワード認証を使用したWeb APIおよびSMTPリクエストは拒否されるようになるためです。

また、APIキーには、必要最低限の権限を付与することを推奨しています。すべての権限を持つ1つのAPIキーを使い回すのではなく、なるべく少ない権限を持つ複数のAPIキーを作成して使い分けることをお勧めします。

参考:SendGridのアカウントとレピュテーションを保護する7つのベストプラクティス

 

Q. なぜこの変更が必要なのでしょうか?

A. セキュリティ強度を高め、お客様のアカウントを安全に保護するためです。

近年、Twilio SendGridを利用したフィッシングメールの送信が増加しており、深刻な被害が出ております。その多くは、十分に保護されていないアカウントを悪意のある攻撃者が乗っ取ることによって発生しています。これまでも、アカウントを不正利用から守る対策の実施をお願いして参りましたが、乗っ取りによる被害があとを絶たないため、全アカウントに対して、アカウント保護のための設定を必須にせざるを得ないとTwilio社では判断いたしました。

 

Q. Twilio SendGridから認証情報が漏洩したのでしょうか?

A. Twilio SendGridから認証情報は漏洩しておりません。

強度の低いパスワードの利用や他サービスとの使い回し、公開リポジトリへの意図しないアップロードにより、攻撃者に認証情報が知られるケースが多く、それを防ぐために今回の変更を実施いたします。

 

Q. 複数名で1アカウントを利用している場合、二要素認証はどうやって設定すれば良いでしょうか?

A. 以下の2つの方法がございます。

1. Teammatesを利用する

各Teammateごとに、二要素認証の設定が可能です。Teammateでログインする場合は、app.sendgrid.com/loginからアクセスする必要があります。

なお、Free/Essentialsプランでは、作成可能なTeammate数が1つという制限があるため、複数のTeammatesを利用したい場合は、Proプランにアップグレードする必要があります。

 

2.  Authyの「Multi-Device」機能を利用する 

「Multi-Device」機能を利用すれば、1つのアカウントに対して複数端末で認証が可能です。

https://authy.com/blog/understanding-authys-multi-device-feature/

 

Q. サブユーザも二要素認証の設定が必須でしょうか?

A. サブユーザやTeammatesなど、アカウントの種別を問わず、app.sendgrid.com/login からログインする際には、二要素認証の設定が必須です。

 

Q. 二要素認証が正しく設定できているか不安です。どうやって確認すれば良いでしょうか?

A. 設定画面が以下のように変更されていたら正しく設定されています。

二要素認証が設定されている場合

after_annotated.png

二要素認証が設定されていない場合

before_annotated.png

 

Q. 変更期限を延長することはできますか?

A. 期限を変更することはできません。プラットフォーム全体の安全性を高めるための措置であるため、延長は受け付けられないこと、何卒ご了承ください。


他にご質問がございましたら、 お問い合わせ ください。