【重要】Twilio上の録音メディアが意図せず公開されているケースに対する周知

日本時間 2018/5/1 朝方に米国Twilio社より配信された英語版メルマガにつきまして、重要なお知らせであるため弊社にて補足を行いながら日本語へ翻訳してご案内いたします。

原文タイトル: Notification of Potential Exposure of Private Media
Twilio上のプライベートメディアが公開される可能性についての通知

Wayback Machine と呼ばれるインターネット上のデジタルアーカイブを使って、限られた数ですがアカウントに関連されている音声録音メディアへアクセスできるURLが発見されたことをお知らせします。このサイトは、インターネット上のデジタルライブラリとして機能します。日本で俗に呼ばれる「魚拓サイト」のようなものです。Twilio社は現在までに、このサイトを通じてメディアへアクセスされたという証拠は掴んでいませんが、Twilio社からの要請によりこのサイトは、メディアを参照するURLのアーカイブを削除しました。

Twilio社はみなさんのアカウントに関連するメディアの内容は参照せず、またこれらがグローバルに公開する意図のある・なしについてもチェックをいたしません。みなさんがグローバルへ公開する意思を明確にお持ちの上であれば、特にこの件について何かする必要はございません。グローバルに公開する必要がなく、プライベートで事が足りる場合には、管理画面(コンソール)で認証設定を変更する必要があります。

メディアを参照するURLは、グローバルからアクセス可能であり、またBasic認証も掛かっていないため、多くの外部アプリケーションにとって便利です。このおかげもあり、Twilio API の認証情報を用いず各アプリケーションに URLを簡単に embed することができます。

一方、セキュリティをより強化する手法も用意しています。管理画面の Programmable Voice > 設定 にある Enforce HTTP Auth on Media URLs を ENABLED に変えることで、メディアへのアクセスに Account SID/AuthToken を使用した Basic認証を必須とすることが可能です。この設定はデフォルトでは DISABLED (Basic認証なし) です。音声録音メディアをグローバルに公開する必要がない方は、ここを ENABLED に変更し、メディアまでのアクセス時には Basic認証 を使うことでより高いセキュリティで運用することが可能になります。

Record_basicauth.png同様に Assets をご利用の方で、Public/Private を意識したことがない方はこれを機に Assets の運用もチェックしてみてください。Assets はアップロード時に Public(グローバル公開) か Private(Functions経由でしかアクセスできない) かを選択できます。Functions経由でアクセスできれば事が足りる方は、Private にするほうが望ましいです。

この記事をシェア


最新記事

すべての記事へ