Edited at

AWSのMFAを解除するためにアメリカ大使館に足を運んだ話

More than 1 year has passed since last update.


TL;DR


  • AWSの二段階認証(Multi-Factor Authentication)を利用しているとき、認証端末を無くすとAWSのサポートが必要になる

  • 電話番号での認証ができない場合には本人確認書類を提出して二段階認証を解除する必要がある

  • 本人確認書類には公証人のサインが必要で、アメリカ大使館でサインをしてもらうことができる


AWSアカウントにはMFAを設定しよう、というプラクティス

AWSを利用しているアカウントが不正利用され、高額な請求を受けてしまうケースが話題となり、個人であってもルートアカウントでMFAを設定することが当たり前な世の中になりました。

初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。 - Qiita

AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ - Qiita

ご多分に漏れず、僕もルートアカウントでMFAを設定し、iPhone アプリのGoogle Authenticatorを利用して二段階認証を行うようにしていました。


iPhoneが損壊、アカウントが利用できなくなる

そんな折、iPhoneを落としてしまい、タッチパネルでの操作ができなくなりました。Genius Bar で修理できましたが、タッチパネルが操作できない状態ではバックアップがとれず、端末上のデータはすべてリセットされることとなりました。

Authenticatorアプリで設定していた二段階認証の情報も消えてしまったため、AWSコンソールにログインできなくなりました。

余談:iPhoneをリセットした後、バックアップからデータの復元を試みましたが、Authenticatorアプリ上のデータは消えてしまっているようでした。もしデータが復活したという経験のある方はコメント欄で教えてください。

2017/01/04追記

この時点で二段階認証のデータを復旧できれば、大事にはならなかったようです。はてブコメントなどでいただいた情報から、以下のような方法があるそうです。


  • 二段階認証設定のためのQRコードをバックアップしておく

  • 二段階認証用のアプリにAuthy1Passwordを使い、アプリのバックアップ機能でバックアップしておく

  • iTunesのバックアップ時に暗号化オプションをONにしてバックアップしておく

コメントいただいた方々、ありがとうございました!

Authyは知ってたんですがどうせ二段階認証用のアプリなんて全部一緒でしょ、と思ってましたごめんなさい。。

2017/01/04追記ここまで


AWSサポートに連絡

AWSでMFAデバイスが利用できなくなった場合は、AWSのルートアカウントでパスワードを利用しログインした後の認証コードを入れる画面で "Having problems with your authentication device? Click here" のリンクをクリックし、サポートページから連絡する必要があります。

MFA デバイスの紛失および故障時の対応 - AWS Identity and Access Management

Screen Shot 2016-12-22 at 12.50.55 PM.png

AWSサポートに連絡をとると、10分程度でアメリカの番号(+1から始まる国際電話)から電話がかかってきます。

会話は英語だったのでうろ覚えですが、以下のような内容になります。


AWS: こんにちは、AWSサポートです。あなたからのサポートリクエストを受け付けました。どうされましたか?

Me: iPhoneを紛失してしまい、コンソールにログインできなくなりました。

AWS: 日本語でのサポートも可能ですが、このままで大丈夫ですか?

Me: はい、大丈夫です。

AWS: それでは、AWSアカウントと電話番号を教えてください。

Me: xxx@gmail.comです。電話番号は+81-90-xxxx-xxxxです。

AWS: 承知しました。それでは、これから登録された電話番号に折り返しますので少々お待ちください。


日本語の対応もしてくれるそうですが、平日日中のみの対応となるそうです。その時点では時間がかかるのが嫌だったので、そのまま話を進めました。

一度電話が切られ、再度電話がかかってきます。


登録電話番号が確認できず、復旧ならず

再度AWSサポートから連絡がきますが、どうやら電話番号が確認できない様子でした。


AWS: こんにちは、AWSサポートです。先ほどあなたのアカウントの登録電話番号に電話してみたのですが、繋がりませんでした。この場合、書類によって本人確認をする必要があります。登録メールアドレス宛にメールをお送りしますので、書類をメールで返送してください。


本来であれば、この時点でアカウントに登録された電話番号に電話がかかり、登録したメールアドレス宛に送信されたパスコードを読み上げることでMFAを解除してもらえるのですが。。

AWSの仮想MFAデバイス紛失時にとるべき行動 - yuukigoodman blog

実は直近で電話番号(SIM)を変更しており、その際にAWSアカウント上で電話番号を変更することを忘れていたようです。アカウントに登録された電話番号はすでに利用できない状態だったので、書類での本人確認を余儀なくされました。(MFAに利用していた端末とは別のSIMを利用していました。)

ちなみに電話してくれたサポートの人はこの時点でちょっと面倒くさそうな様子でした。正直すまんかった。


提出書類のメールが送られてくる

というわけで書類での本人確認に移行しました。必要な書類は以下の通りでした。


  1. A completed, signed, and notarized Identity Verification Form and Affidavit 実物

  2. A photocopy of the AWS account owner’s primary proof of identification.(パスポートか免許証のコピー)

  3. A photocopy of the AWS account owner’s proof of address matching the address on file.(賃貸契約書のコピーか電気代の請求書など)

2, 3 の書類については問題なく用意できたものの、曲者だったのが1でした。

今回の書類では、Affidavit が1.の文書の下半分に含まれており、ここには公証人(Notary Public)のライセンスを持った人からサインをもらう必要がありました。

Screen Shot 2016-12-22 at 2.22.48 PM.png

日本では馴染みがありませんが、Affidavit とは、法廷外で提出する書類の記載内容が真実であり、本人の意思によってサインされていることを宣誓する宣誓供述書という文書のようです。

サイン証明:米国 | 貿易・投資相談Q&A - 国・地域別に見る - ジェトロ


公証人のサイン取得へ

公証人のサインは、在日アメリカ人向けの市民サービスを提供しているアメリカ大使館で行うことができます。都内ですと赤坂にあります。

以下の大使館のページから、公証サービスの予約を取ったうえで、大使館へ赴く必要があります。

アメリカ市民サービス | 東京, 日本 - 米国大使館

僕のとき(12月下旬)は3日先くらいからしか予約の空きがありませんでした。

2017/01/04追記

大使館でなくても公証役場でよいのでは、というコメントをいただきました。なるほど、そういうのもあるんですね。。

全国公証役場所在地一覧

サイトを見る限り、各公証役場では受け付ける文書の種類(遺言書等)がある程度決まっているようです。今回に関しては外国文認証というものに該当しそうなので、最寄りの公証役場に対応しているか確認するのがよいと思います。

大使館のない地域だったらどうしてたんだ、、と思った記憶があるので、こうした手もあるのは救いですね。なお試していませんのでこちらでの公証が有効かどうかは自己責任でお願いします。

2017/01/04追記ここまで


大使館で公証のサインをもらう

アメリカ大使館で公証を受ける際は、以下の持ち物が必要になります。上記の大使館のサイトの注意書きにもよく目を通しましょう。


  • サインをもらう書類

  • 大使館ウェブサイトの予約完了のページのプリントアウト

  • 写真付き身分証明書(パスポートが良いが免許証でも可)

  • 現金($50相当、またはクレジットカード)

大使館では入館時に持ち込めるものが決まっており、空港のような身体検査をされます。電子機器(携帯含む)は基本的に持ち込めませんので、必要な書類はすべてプリントアウトしておきましょう。

また、公証の手数料は $50.00 であり、大使館内で支払いますが、クレジットカードの利用が基本となっているようです。VISA, Master以外にJCBやAmexも利用できます。てか手数料高い。。

大使館では基本的にパスポートが身分証となります。持っていない場合には「IDはありますか?」と聞かれるので、免許証を提示しましょう。

大使館では、平日でもUS VISA申請のために長蛇の列が並んでいることがありますが、予約している場合には列に並ばなくても入館できます。

Affidavit は宣誓書なので、形式的ではありますが、公証人の目の前で「あなたはこの文書の内容が真実だと誓いますか?(英語)」「はい、誓います」みたいなやり取りをします。指示されたら右手を上げて「Yes.」と一言言えば大丈夫です。

余談:AWSサポートからは、公証のためにMedallion Signatureを勧められますが、これは金融商品の契約など、より重要な書類に利用されるもののようです。アメリカ大使館でもMedallion Signatureを取得することはできないため、普通に公証人(Notary Public)にサインを貰いましょう。


そしてアカウントが復旧

サインを貰った書類と、証明書類をメールに添付して送ると、AWSサポートに書類が確認され、MFAが解除されます。以下に時系列を示すように、クリスマス時期だったこともあってなのか、必要書類を送ってから復旧までに1週間以上かかりました。

なお、MFAが削除されると以下のようなメールが届きます。

[Case 2014xxxxxxx] Your AWS MFA Inquiry

From: no-reply-aws@amazon.com

---

Hello,

This is XXX from AWS Customer Service.

We've successfully removed the virtual MFA device from your account, so you will now be able to log in to your account without using the MFA device.

If you'd like to add a new virtual MFA device to your account, see the Security Credentials page in your console:

https://console.aws.amazon.com/iam/home?#security_credential

You can also learn more about different MFA options on our website:

http://aws.amazon.com/mfa/

I hope this helps. If you have any additional questions please let us know. We're available 24/7 and we're happy to help.

Best regards,


今回の時系列

2016/12/16 iPhone損壊、サポートに電話

2016/12/17-19 何度かサポートと連絡を取る(公証について聞く)・大使館の予約をする

2016/12/20 公証サインを取得・すべての書類をAWSに提出

2016/12/27 書類のレビューについて返答ないので問い合わせ、待てと言われる

2016/12/29 MFAのデバイスをアカウントから削除するけどいいね?という確認メールが届く(ここで24時間以内に削除しないよう返信すると削除されない)

2016/12/31 MFAデバイスが削除される・アカウントにログイン可能に

初回の電話のみの対応であれば、長くても数十分でMFAを解除できますが、書類の場合は結局アカウントの復旧に2週間程度かかったことになります。もしサービスを運営していたらと思うと恐ろしいですね。。

なお、AWSのサポートはメールを送ってから24時間以内に返信(早ければ1時間程度)をくれはするものの、必ずしも書類のレビューなどがその時間内に終わるわけではありませんでした。


今回の教訓


  • MFAを設定した端末の管理には十分注意しましょう

  • MFAの認証データはバックアップを取りましょう

  • アカウントの電話番号は常に最新のものに更新しましょう

  • アカウントの電話番号が利用できなくても、本人確認書類を提出すればアカウントは復旧できるので、慌てないようにしましょう

個人でAWSアカウントを利用している場合、連絡先がひとつ死ぬとそれだけでアウトになってしまうケースも多いと思います。連絡先も冗長化しておくとよいですね。

なお心配になった方は、アカウントでログイン後、グローバルメニューのアカウント名部分からMy Accountを参照し、Contact InformationとAlternate Contactsを確認することをおすすめします。