LoginSignup
56
40

More than 5 years have passed since last update.

@sashimizakana

もしもAWSでMFAが壊れて秘密の質問に答えられなかったら

Last updated at Posted at 2015-08-13

Q.もしもAWSでMFAが壊れて秘密の質問に答えられなかったら

A.かなり面倒くさいし、10,000円以上かかる

概要

多要素認証(MFA)が利用できない状態になり、AWSのサポートに解除申請を出したところ、ピン番号の通知のあとに秘密の質問について聞かれた。登録したのがもう数年前で、しかもどうやら当時秘密の質問を適当に書いていたらしく、答えられなかった。そうすると、以下のようなものの提出を求められた。

  • 免許証のコピー
  • ガス・電気・水道等公共料金の領収書コピー
  • 定形のフォーム(Word)に公証役場で私署証書の認証を受けた書面のコピー

上記をスキャンしてPDFにしてメールに添付して送れとのこと。
私の感想については以下のとおり。

  • マジか
  • ガス・電気・水道は自動振込で領収書とかないはず
  • Word持ってない
  • 公証役場ってなんだ?

公証役場ってなんだ?

公正証書の作成や私的な書類の署名等が正しいということを証明してくれる機関。
都道府県内に数箇所あり、サイン中心の海外では証明手段として割とポピュラーなものらしい。日本でも、企業が定款を作成した時や、遺言を作成したとき、不動産の取引や金銭の賃借、養育費なんかの取り決めの文書を公正証書としてくれるらしい。また私的文書の署名や日付が確かに本人にその日に書かれたということの証明などもしてくれるとのこと。書いててあまりよくわかっていない。
今回の場合、民間企業へMFAの解除申請を行っているのがたしかに私であるということの証明のために提出するので、私署証書の認証というものになるらしい。この場合、実際に署名を公証人の前で行うパターンと、署名したあとで「たしかにこのサインは私がしました」と自認するなどあるそうで、今回は特に指定は無かったが署名欄は空けて公証人の前で署名することにした。

ちなみに土日祝日お休み以外の9時~17時が業務時間だそう。
AWS月50円しか使ってないしもう一生アカウント放置で良いんじゃないかという気もしたが、自分のうっかりで交通事故を起こしたようなものだと思って、ちょうど盆休みだし翌日に行ってきた。

公証役場訪問

先に公証役場に電話してみたところ、私署証書の認証(公的書類ではないものの署名等の認証)の場合は予約は不要なのでそのまま窓口まで来いとのこと。このあたりはどうも行く公証役場によって手順が違うらしいので、先に電話をしてみたほうが良いだろう。

最寄りの公証役場は電車で30分ほどのビジネス街の雑居ビルにあった。昼イチに着いたので、私の前には二組だけ。3,40分ほど待つとパーティションで区切られたブースに通された。公証人は50代くらいの温厚そうな男性で、私が着席すると、これはどのような文章であるかとの質疑があった。外国の情報処理サービスのアカウントにログインするため使う特別な機械が利用できなくなったため一時的にその利用を解除する申請書である、とごく噛み砕いて話した。理解してもらえたのかは分からないが、それから公証人の前で氏名をローマ字で記入し、記入日を書いた。公証人は良い人で、ごく丁寧な対応をしていただいた。
通してせいぜい5分程度で、それからまた10分程度待つと認証書が交付された。

AWSから渡された書面には公証人欄は書類内にあったが、日本の場合は書類自体にはサインせず、書類に公証人がサインした証書をホッチキスで止めて割印を押すというような形式になるらしい。あきらかに先方から渡されたフォームと違うのでやや不安になるが、国で定められた手順で公証人が発行した証書が付いているので問題もあるわけなかろうと考えて公証役場を出た。

計1時間ほどで、発行手数料が5,500円+外国文書加算が6,000円で11,500円。
勉強代である。自業自得である。大人がガタガタ言う金額じゃない。
そう自分に言い聞かせつつもじっと手を見る。

その他

  • 公的な料金の支払い書は無かったので住民票を取って添付した
  • WordはGoogleドライブでプレビューできたのでそれで印刷した
  • PDFはPhotoshopElementsでスキャナから取り込んだ画像から作った
  • 複数のPDFを結合するフリーソフトを使ってまとめた

結果

書類をPDFで送付したところ、定時近くだったが2時間ほどでMFAデバイスが解除された。

今度はもうこんな目に遭うまいと、秘密の質問は全部乱数にしてパスワード管理ソフトに記録した。それからMFAの管理をAuthyを利用してマルチデバイス間で利用できるようにした。またrootアカウント以外にもIAMで管理者アカウントを作って、それもパスワード管理ソフトとMFAをAuthyに登録を行った。こんだけやっておけば、二度目はないだろう。

AWSに対してはもうちょい手順を簡略化できないもんかと思うが(本人限定受取の郵便でPIN送るとか)、海外の企業でどこの国に対しても同じような手順を求めたりしてんのかなと思うし、企業の基幹システムなんかを動かしている以上、適当なやり方でシステム乗っ取られたりしたらそれこそ信用に関わるので、仕方ないだろうなとも思う。

とにかく問い合わせの開始からMFA解除まで合計3日かかり、金額的には11,500円+交通費かかった。しかしまあ、どう考えても自業自得であるし、公証役場に行って私署証書の認証を受けるなどやったことのない経験もできたので、良い勉強になったと思う。

56
40
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
56
40