Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

AWSで不正アクセスを受けたので、そのときの対応を記録しておく(返金されました)

More than 1 year has passed since last update.
  • 5/27 20:34
    • AWSから、アカウントがcompromisedというメールをもらう。
  • 21:50〜22:20
    • メールに気づく。AWSにログインできなくて普通に困る。(パスワード変えられてる?)
    • とりあえず、パスワードを変える手続きをして、なんとかログインする。
    • 全リージョンに大量のEC2インスタンスが作成されている。マジで身に覚えがない。死ぬほど焦る。
    • 請求を見ると$479.96で止められているっぽい?EC2しか使われていない。みに覚えのないIAMロールが作られている。消す。
    • とりあえず、インスタンスを片っぱしから手動で削除する。
    • 全部、20個づつインスタンスが作られていて、2個だけ稼動していた。他は全てstoppedになっている。これはAWSの人がやってくれたのかな?
    • EUのリージョンは遠いから反応が遅いんだなーとか思う。
    • サポートに「電話」を設定して問い合わせたら、英語で電話がかかってきたので、「英語できない」と言うと、メールすると言われる。
    • 日本語しかできない場合は、日本語でケースを作成しろと言われる。
    • とりあえず作成しようとしたものの、日本で対応できるのは、9:00~18:00の間と書いてある。英語のケースで、なんとかならんかと問い合わせる。
    • パリのリージョンは、なぜだか知らないけど、インスタンスが作られていなかった。
  • 22:20
    • インスタンスのスナップショットも作られている。消そうとするが、消せない。AMIイメージを先に消さなきゃいけないことを知る。
  • 22:40
    • サポートから返事が来ず、とりあえずEC2インスタンスは全部消したので、一旦できることがなくなった。
    • 念のため、もう一回パスワードを変更する。
  • 5/28 9:17
    • 再度請求書を確認すると $2,316.73に増えていた。さすがにこれは払えない・・・。昨日の段階ではまだ計算されてなかった模様。
  • 16:27
    • サポートへの連絡が対応中に変わった。
  • 19:01
    • 日本のサポートから、「英語で来てたメールにやるべきことが書いてあるので、それをやれ。やったら報告しろ。」と指示を受ける。(英語だったのでまともに読んでなかったけど、やったら報告しろと書いてあった模様。そのメールに対して、どうすればいいですか?と聞いてしまっていたみたい。)
    • やるべきことが日本語で送られてきたので、やる。
      • パスワードの変更。(2回やった)
      • アクセスキーの削除(ルートアカウント)
      • アクセスキーの削除(IAM)
      • アプリで使っているアクセスキーは削除して入れ替える(使ってなかったから関係ない)
      • 動いているEC2インスタンスで自分のに関係ないやつを全削除(使ってなかったから全部削除した)
    • やるべきことをやりました!と報告。
    • アメリカのサポートから、不正アクセスによる料金の請求はうんたらかんたらというメールが来ていた。24時間後に更新されると書かれているので免除されるのだろうか・・・?
  • 5/29 11:10
    • 日本のサポートから「免除するかどうかは海外の担当部署と相談するから、ちょっと待っとってな!」という連絡がきた。待つ。
  • 6/5 9:10
    • アメリカの担当者から、返金のお知らせがきた。
    • 全額返金された。
    • ただ、6月の請求でS3に3リクエスト実行されていて、1円の請求が来ている。S3にはバケットがないので、この請求は何なのだ・・・。まだハッキングは続いてるの・・・?さらに問い合わせる。

アカウントについて

  • 2段階認証設定なし
  • パスワードは7年前にAmazon.comで買い物してから変えてなかった。使い回しはしていない。英小文字のみ12文字。
  • AWSの勉強のために2年前にAWSに登録。ただし、7年前にAmazon.comで買い物したときに登録したので、アカウントはだいぶ前から存在していた。
  • IAMのアクセスキーが2つと、ルートアカウントのアクセスキーが2つあった。
    • ただしルートアカウントのアクセスキーのうちの一つは敵が作成したもの。
    • もう一つのアクセスキーは1年前の3月に作成されていたが、何のために作ったのかさっぱり覚えていない…。
    • IAMのアクセスキーはKinesisにアクセスできるやつと、もう一つはなんだったか忘れてしまった。。。EC2にアクセスするためだったような気もする。
  • 不正アクセスされた経緯は問い合わせ中。技術的な範囲になるから回答がもらえるかは不明だけど。
    • 回答もらった。メールとパスワードが漏れたということでいいのかな?お支払い情報ってなんだろう。クレジットカードの番号とメールアドレス組み合わせてログインしたりできるんです・・・?

AWS(AWSアカウントと紐づく Amazon.com アカウント)以外のサイトにおいて、お客様のメール個人情報および/またはお支払い情報を悪意のある第三者が入手し、AWS アカウントへアクセスしていたものとお見受けいたします。

メモ

できることがなくなったので、ちょっとログとかを見てみる。

  • 請求書によると、 Data TransferUS West (Oregon) から各リージョンに0.435GBずつデータが送られている。それぞれ$0.01ずつ。
    • つまり、攻撃者は最初にOregonにインスタンスを作って、そこから他のリージョンに手を広げていった模様。
  • Clowd watchをみると、今日の12:30に最初のインスタンスが作られている。
  • よくよく見てみたら、13:34に、不正アクセスされとるんちゃう?、というメールが来ていた。埋もれてて気づかなかった。
  • 20:34にAWS側からインシデントのメールが来ている。Clowd watchをみると、ここでそれぞれのリージョンのEC2インスタンスのうち2台を残して18台が停止されている。たぶん、これはAWS側で対処してくれたやつだろう。
  • 一番高い請求は、 Asia Pacific (Seoul) リージョンの$74.69。 i2.8xlarge というめっちゃ強いやつで2時間で$16.00請求されている。仮想CPU32個、メモリ244GBってなんなん・・・
  • オレゴンとか、今日の12:30〜22:00まで使われてるはずだけど、請求書には2Hrsまでしか記載されていない。→次の日になってきっちり料金が計算されていた。25万円なり。

その他の記録

料金

image.png
image.png
image.png
image.png

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away