AWS

AWSで不正アクセスを受けたので、そのときの対応を記録しておく(返金されました)


  • 5/27 20:34


    • AWSから、アカウントがcompromisedというメールをもらう。



  • 21:50〜22:20


    • メールに気づく。AWSにログインできなくて普通に困る。(パスワード変えられてる?)

    • とりあえず、パスワードを変える手続きをして、なんとかログインする。

    • 全リージョンに大量のEC2インスタンスが作成されている。マジで身に覚えがない。死ぬほど焦る。

    • 請求を見ると$479.96で止められているっぽい?EC2しか使われていない。みに覚えのないIAMロールが作られている。消す。

    • とりあえず、インスタンスを片っぱしから手動で削除する。

    • 全部、20個づつインスタンスが作られていて、2個だけ稼動していた。他は全てstoppedになっている。これはAWSの人がやってくれたのかな?

    • EUのリージョンは遠いから反応が遅いんだなーとか思う。

    • サポートに「電話」を設定して問い合わせたら、英語で電話がかかってきたので、「英語できない」と言うと、メールすると言われる。

    • 日本語しかできない場合は、日本語でケースを作成しろと言われる。

    • とりあえず作成しようとしたものの、日本で対応できるのは、9:00~18:00の間と書いてある。英語のケースで、なんとかならんかと問い合わせる。

    • パリのリージョンは、なぜだか知らないけど、インスタンスが作られていなかった。



  • 22:20


    • インスタンスのスナップショットも作られている。消そうとするが、消せない。AMIイメージを先に消さなきゃいけないことを知る。



  • 22:40


    • サポートから返事が来ず、とりあえずEC2インスタンスは全部消したので、一旦できることがなくなった。

    • 念のため、もう一回パスワードを変更する。



  • 5/28 9:17


    • 再度請求書を確認すると $2,316.73に増えていた。さすがにこれは払えない・・・。昨日の段階ではまだ計算されてなかった模様。



  • 16:27


    • サポートへの連絡が対応中に変わった。



  • 19:01


    • 日本のサポートから、「英語で来てたメールにやるべきことが書いてあるので、それをやれ。やったら報告しろ。」と指示を受ける。(英語だったのでまともに読んでなかったけど、やったら報告しろと書いてあった模様。そのメールに対して、どうすればいいですか?と聞いてしまっていたみたい。)

    • やるべきことが日本語で送られてきたので、やる。


      • パスワードの変更。(2回やった)

      • アクセスキーの削除(ルートアカウント)

      • アクセスキーの削除(IAM)

      • アプリで使っているアクセスキーは削除して入れ替える(使ってなかったから関係ない)

      • 動いているEC2インスタンスで自分のに関係ないやつを全削除(使ってなかったから全部削除した)



    • やるべきことをやりました!と報告。

    • アメリカのサポートから、不正アクセスによる料金の請求はうんたらかんたらというメールが来ていた。24時間後に更新されると書かれているので免除されるのだろうか・・・?



  • 5/29 11:10


    • 日本のサポートから「免除するかどうかは海外の担当部署と相談するから、ちょっと待っとってな!」という連絡がきた。待つ。



  • 6/5 9:10


    • アメリカの担当者から、返金のお知らせがきた。

    • 全額返金された。

    • ただ、6月の請求でS3に3リクエスト実行されていて、1円の請求が来ている。S3にはバケットがないので、この請求は何なのだ・・・。まだハッキングは続いてるの・・・?さらに問い合わせる。




アカウントについて


  • 2段階認証設定なし

  • パスワードは7年前にAmazon.comで買い物してから変えてなかった。使い回しはしていない。英小文字のみ12文字。

  • AWSの勉強のために2年前にAWSに登録。ただし、7年前にAmazon.comで買い物したときに登録したので、アカウントはだいぶ前から存在していた。

  • IAMのアクセスキーが2つと、ルートアカウントのアクセスキーが2つあった。


    • ただしルートアカウントのアクセスキーのうちの一つは敵が作成したもの。

    • もう一つのアクセスキーは1年前の3月に作成されていたが、何のために作ったのかさっぱり覚えていない…。

    • IAMのアクセスキーはKinesisにアクセスできるやつと、もう一つはなんだったか忘れてしまった。。。EC2にアクセスするためだったような気もする。



  • 不正アクセスされた経緯は問い合わせ中。技術的な範囲になるから回答がもらえるかは不明だけど。


    • 回答もらった。メールとパスワードが漏れたということでいいのかな?お支払い情報ってなんだろう。クレジットカードの番号とメールアドレス組み合わせてログインしたりできるんです・・・?




AWS(AWSアカウントと紐づく Amazon.com アカウント)以外のサイトにおいて、お客様のメール個人情報および/またはお支払い情報を悪意のある第三者が入手し、AWS アカウントへアクセスしていたものとお見受けいたします。



メモ

できることがなくなったので、ちょっとログとかを見てみる。


  • 請求書によると、 Data TransferUS West (Oregon) から各リージョンに0.435GBずつデータが送られている。それぞれ$0.01ずつ。


    • つまり、攻撃者は最初にOregonにインスタンスを作って、そこから他のリージョンに手を広げていった模様。



  • Clowd watchをみると、今日の12:30に最初のインスタンスが作られている。

  • よくよく見てみたら、13:34に、不正アクセスされとるんちゃう?、というメールが来ていた。埋もれてて気づかなかった。

  • 20:34にAWS側からインシデントのメールが来ている。Clowd watchをみると、ここでそれぞれのリージョンのEC2インスタンスのうち2台を残して18台が停止されている。たぶん、これはAWS側で対処してくれたやつだろう。

  • 一番高い請求は、 Asia Pacific (Seoul) リージョンの$74.69。 i2.8xlarge というめっちゃ強いやつで2時間で$16.00請求されている。仮想CPU32個、メモリ244GBってなんなん・・・

  • オレゴンとか、今日の12:30〜22:00まで使われてるはずだけど、請求書には2Hrsまでしか記載されていない。→次の日になってきっちり料金が計算されていた。25万円なり。


その他の記録


料金

image.png

image.png

image.png

image.png