Help us understand the problem. What is going on with this article?

AWSからAbuse Reportがきた時の対応方法

注意

Abuse Reportが届いたら正規のアドレス(ec2-abuse@amazon.com)から来たことやIDなど間違いないかを確認し、速やかに対応・返信をしてください!返信せずそのまま放置していると、インスタンスなどの強制停止処分などの可能性があります。

AWSからAbuse Reportが届いた...

最近AWSを使ってなかったのに、AWSから突然メールが届いた。件名が「Your Amazon EC2 Abuse Report」 (アマゾンEC2 不正使用報告)。これはなんだと思い、読んで見た。

(日本語・内容省略)
「リモートホストにハッキングする行為が行われている可能性があり、この行為を止めて、あなたが行った行動についてメールに返信してください。もし不正行為でないと思ったら、詳細を書いて返信してください。」と言った内容。

(英語)
「From: Amazon EC2 Abuse ec2-abuse@amazon.com
Subject: Your Amazon EC2 Abuse Report (AWS ID ○○)

メールの内容
Hello,

We've received a report(s) that your AWS resource(s)
AWS ID: 〇〇 Region: ap-northeast-1 EC2 Instance ID: 〇〇

has been implicated in activity which resembles attempts to access remote hosts on the internet without authorization. Activity of this nature is forbidden in the AWS Acceptable Use Policy (https://aws.amazon.com/aup/). We've included the original report below for your review.

Please take action to stop the reported activity and reply directly to this email with details of the corrective actions you have taken. If you do not consider the activity described in these reports to be abusive, please reply to this email with details of your use case.

If you're unaware of this activity, it's possible that your environment has been compromised by an external attacker, or a vulnerability is allowing your machine to be used in a way that it was not intended.

We are unable to assist you with troubleshooting or technical inquiries. However, for guidance on securing your instance, we recommend reviewing the following resources:

If you require further assistance with this matter, you can take advantage of our developer forums:

https://forums.aws.amazon.com/index.jspa

Or, if you are subscribed to a Premium Support package, you may reach out for one-on-one assistance here:

https://console.aws.amazon.com/support/home#/case/create?issueType=technical

Please remember that you are responsible for ensuring that your instances and all applications are properly secured. If you require any further information to assist you in identifying or rectifying this issue, please let us know in a direct reply to this message.

Regards,
AWS Abuse Team

Detailed abuse report information is included below.」
以下ログなどがずらずら書いてあった。
ブルートフォースログインやハッキングなど書かれており、私のインスタンスが悪さをしているようだった。(※私が行った行為ではない。)

メールでのやりとり

そもそも私の場合、地域をデフォルトにして使っていたが、なぜかRegion: ap-northeast-1になっていて該当のインスタンスも見つからない。
返信しないとアカウント停止など食らうみたいなので、時間稼ぎのためにも、こう返信した。(以下、英文メールでのやり取りを記載。)

①私の回答
(日本語)
「ご関係者さま

お知らせいただきありがとうございます。
現在問題を調査中です。

この問題の解決方法をご存知でしたら教えてください。
よろしくお願いします。」
(有償サポート使わないと基本的に教えてくれないが、ダメ元で書いてみた。)

(英語)
「To whom it may concern

Thanks for your notification.
I am currently investigating an issue.

Let me know when you know how to resolve this problem.
Best regards」

②AWSからの返信
(日本語・内容省略)
「調査を続けてください。24時間以内の調査のアップデートを期待しています。今回は技術サポートを提供できません。有償サポートで頼むかやAWS版teratail的なところで質問してください。それかガイド見てください。」

(英語)
「Hello,

Thank you for your prompt response.

Please continue to investigate, while we pend this case on our end. We look forward to an update from you within the next 24 hours of your investigation.

At this time, Amazon EC2 Abuse does not provide technical support.

As an AWS Support customer, the most efficient channel to have your technical inquiries answered is by creating support cases through the AWS Support Center (https://aws.amazon.com/support). An AWS developer support engineer will then directly assist in resolving your issue. Please make sure the login credentials used for the Support Center are the same as the AWS account credentials you used to subscribe for Support.

All Support customers have access to AWS Documentation and User Guides, Developer Forums, and the full library of tutorials at no additional charge. You will find links to the many resources and tools available in the AWS Support Center: https://aws.amazon.com/support/.

The AWS Developer Forums allow customers to seek help from other experienced AWS developers as well as our technical engineers. Our AWS support engineers are able to review your account and provide technical assistance 24 hours a day.

You can access the 24 hour Developer Forums and post your question, at the following URL:

http://aws.amazon.com/forums

Additionally, you can go through our Documentation, White Papers and Best Practice Guides at the following URL:

http://aws.amazon.com/resources/

We appreciate your attention and cooperation in this matter.

Regards,
AWS Abuse」

③私の回答
また24時間以内に〜とか言われるのが嫌&インスタンスがどこかわからないで、以下のように書いた。
(日本語)
「ご返信ありがとうございます。
私のインスタンスを止めようとしたのですが、どのインスタンスを止めるべきかわかりません。

私のインスタンスは以下の通りです。
キャプチャ
下記のものと同じインスタンスがなく、私のアカウントは正しいと思っています。
インスタンス名

もうじき無料期間が終わるので、アカウント自体を消そうと思っています。
作業があるので次の24時間以内に調査と返信をしません。
ご不便おかけして申し訳ございませんが、よろしくお願いします。」

(英語)
「Thanks for your reply.
I tried to stop my instance, however I am not sure which instance should be closed.

My instances are as follows:
キャプチャ
I think that there is no same instance as following one and my account is correct.
インスタンス名

I am thinking to delete my account itself as my free tier will expire soon.
I will not investigate and reply within next 24 hours because of my task.
Sorry for inconvenience that this may occur.

regards」

④AWSからの返信
(日本語)
「早速のご返信ありがとうございます。あなたのスクリーンショットではus-east-1bの地域のインスタンスですが、この不正使用報告ではap-northeast-1(Tokyo)の地域のインスタンスです。コンソールの上にある右側のボタンで変更するか下記のリンクでap-northeast-1(Tokyo) 地域のインスタンスを見ることができます。

調査が終わりましたら、不正使用防止措置をとった旨をご報告ください。

あなたが仰った通り、アカウントを将来止めたいとしても、アカウントを止める前にインスタンスを終了させることをお勧めします。

この問題について気にしてくださり、ありがとうございます。」

(英語)
「Hello,

Thank you for your prompt response. We see that the screenshot of the instances you sent are in region us-east-1b, the implicated instance in this abuse report is in ap-northeast-1(Tokyo) Region.
You will be able to see your instance in ap-northeast-1(Tokyo) by changing the region on the top right corner of your console or just visit the below link to have a look at your instance in the ap-northeast-1(Tokyo) Region.

https://ap-northeast-1.console.aws.amazon.com/console/home?region=ap-northeast-1#

Once you complete your investigation, please update us with the corrective measures to prevent abuse from happening in future.

If you are looking forward for closing your account in future as you mentioned, we recommend you to terminate the instances before closing the account.

Thank you for your attention to this matter.

With Regards,
AWS Abuse」

そういえばAWSのハンズオンの時Tokyo地域でインスタンスを作っていたw
上記のURLにいき、必要ないインスタンスなので終了した。
インスタンスの止め方:https://sys-guard.com/post-7264/

⑤私の回答
(日本語)
「アドバイスありがとうございます。
地域を変える方法知りませんでした。
以下の通りインスタンスを終了させました。
キャプチャ

よろしくお願いします。」

(英語)
「Hi

Thanks for your advice.

I did not know how I can change the region.
I terminated my instance as follows:
キャプチャ

Regards」

⑥AWSからの返信
(日本語・内容省略)
「ご対応くださりありがとうございます。ご対応の確認取れました。AWSはこの問題が解決したことを確定するため、不正使用の監視を続けます。もしさらに不正されてることがありましたら、お知らせします。
もしご質問ございましたら、このメールに返信ください。
あなたのリソースを守るためのハンズオンのサポートが必要でしたら、有償サポートについてもお考えいただけたらと思います。
全てのAWSの問題についてエンジニアが直接お答えします。

よろしくお願いします。
ケースナンバー:〇〇」

(英語)
「Hello,

Thank you for your attention to this abuse notification. We see that all necessary actions have been taken to address this abuse report.

AWS will continue to monitor abuse reports for your account to ensure that the actions taken have resolved this issue. If additional abuse is identified, we will notify you.

If you have any further questions about this case, please reply back to this email and we will do our best to answer them.

If you are looking for hands-on help with protecting your resources (restoring from backups, setting up firewalls, etc.), please consider signing up for our paid Premium Support Service: https://aws.amazon.com/premiumsupport/
This will give you direct access to experienced engineers who can answer all of your AWS questions.

Regards,
AWS Abuse
Case Number: 〇〇」

おそらくこのケースナンバーがあれば、問題が(一旦)解決したサインとなるでしょう。
(英語や和訳で間違っている箇所があったらすみません。)

対応方法

・絶対に返信をしましょう。Abuse Report のメールを放置すると、48時間後に再度リマインドメールがあり、最終的には対象のEC2インスタンスが強制的に停止されるか、アカウントがロックされてしまいます。

・AWSのメールに限らず英文のメールの場合、ID・名前など必要な情報を、できる限りわかりやすく書きましょう。できればキャプチャを取るのが確実です。結構海外だといい加減なので、誤解を生じさせるようなことは書かない方がいいです。シンプルに書くことを心がけましょう。

・上記の通り、操作の問題なら多少は答えてもらえるかもしれません。AWSからの技術サポートは基本的に有料です。もし必要ないインスタンスなら、終了させたほうが無難だと思います。

参照
https://blog.ismg.kdl.co.jp/aws/aws-abuse-report

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away