AWSで不正アクセスを受けたので、そのときの対応を記録しておく(返金されました)

• 5/27 20:34
  • AWSから、アカウントがcompromisedというメールをもらう。
• 21:50〜22:20
  • メールに気づく。AWSにログインできなくて普通に困る。(パスワード変えられてる？)
  • とりあえず、パスワードを変える手続きをして、なんとかログインする。
  • 全リージョンに大量のEC2インスタンスが作成されている。マジで身に覚えがない。死ぬほど焦る。
  • 請求を見ると$479.96で止められているっぽい？EC2しか使われていない。みに覚えのないIAMロールが作られている。消す。
  • とりあえず、インスタンスを片っぱしから手動で削除する。
  • 全部、20個づつインスタンスが作られていて、2個だけ稼動していた。他は全てstoppedになっている。これはAWSの人がやってくれたのかな？
  • EUのリージョンは遠いから反応が遅いんだなーとか思う。
  • サポートに「電話」を設定して問い合わせたら、英語で電話がかかってきたので、「英語できない」と言うと、メールすると言われる。
  • 日本語しかできない場合は、日本語でケースを作成しろと言われる。
  • とりあえず作成しようとしたものの、日本で対応できるのは、9:00~18:00の間と書いてある。英語のケースで、なんとかならんかと問い合わせる。
  • パリのリージョンは、なぜだか知らないけど、インスタンスが作られていなかった。
• 22:20
  • インスタンスのスナップショットも作られている。消そうとするが、消せない。AMIイメージを先に消さなきゃいけないことを知る。
• 22:40
  • サポートから返事が来ず、とりあえずEC2インスタンスは全部消したので、一旦できることがなくなった。
  • 念のため、もう一回パスワードを変更する。
• 5/28 9:17
  • 再度請求書を確認すると $2,316.73に増えていた。さすがにこれは払えない・・・。昨日の段階ではまだ計算されてなかった模様。
• 16:27
  • サポートへの連絡が対応中に変わった。
• 19:01
  • 日本のサポートから、「英語で来てたメールにやるべきことが書いてあるので、それをやれ。やったら報告しろ。」と指示を受ける。(英語だったのでまともに読んでなかったけど、やったら報告しろと書いてあった模様。そのメールに対して、どうすればいいですか？と聞いてしまっていたみたい。)
  • やるべきことが日本語で送られてきたので、やる。
    • パスワードの変更。(2回やった)
    • アクセスキーの削除(ルートアカウント)
    • アクセスキーの削除(IAM)
    • アプリで使っているアクセスキーは削除して入れ替える(使ってなかったから関係ない)
    • 動いているEC2インスタンスで自分のに関係ないやつを全削除(使ってなかったから全部削除した)
  • やるべきことをやりました！と報告。
  • アメリカのサポートから、不正アクセスによる料金の請求はうんたらかんたらというメールが来ていた。24時間後に更新されると書かれているので免除されるのだろうか・・・？
• 5/29 11:10
  • 日本のサポートから「免除するかどうかは海外の担当部署と相談するから、ちょっと待っとってな！」という連絡がきた。待つ。
• 6/5 9:10
  • アメリカの担当者から、返金のお知らせがきた。
  • 全額返金された。
  • ただ、6月の請求でS3に3リクエスト実行されていて、1円の請求が来ている。S3にはバケットがないので、この請求は何なのだ・・・。まだハッキングは続いてるの・・・？さらに問い合わせる。

アカウントについて

• 2段階認証設定なし
• パスワードは7年前にAmazon.comで買い物してから変えてなかった。使い回しはしていない。英小文字のみ12文字。
• AWSの勉強のために2年前にAWSに登録。ただし、7年前にAmazon.comで買い物したときに登録したので、アカウントはだいぶ前から存在していた。
• IAMのアクセスキーが2つと、ルートアカウントのアクセスキーが2つあった。
  • ただしルートアカウントのアクセスキーのうちの一つは敵が作成したもの。
  • もう一つのアクセスキーは1年前の3月に作成されていたが、何のために作ったのかさっぱり覚えていない…。
  • IAMのアクセスキーはKinesisにアクセスできるやつと、もう一つはなんだったか忘れてしまった。。。EC2にアクセスするためだったような気もする。
• 不正アクセスされた経緯は問い合わせ中。技術的な範囲になるから回答がもらえるかは不明だけど。
  • 回答もらった。メールとパスワードが漏れたということでいいのかな？お支払い情報ってなんだろう。クレジットカードの番号とメールアドレス組み合わせてログインしたりできるんです・・・？

AWS(AWSアカウントと紐づく Amazon.com アカウント)以外のサイトにおいて、お客様のメール個人情報および/またはお支払い情報を悪意のある第三者が入手し、AWS アカウントへアクセスしていたものとお見受けいたします。

メモ

できることがなくなったので、ちょっとログとかを見てみる。

• 請求書によると、 Data Transfer で US West (Oregon) から各リージョンに0.435GBずつデータが送られている。それぞれ$0.01ずつ。
  • つまり、攻撃者は最初にOregonにインスタンスを作って、そこから他のリージョンに手を広げていった模様。
• Clowd watchをみると、今日の12:30に最初のインスタンスが作られている。
• よくよく見てみたら、13:34に、不正アクセスされとるんちゃう？、というメールが来ていた。埋もれてて気づかなかった。
• 20:34にAWS側からインシデントのメールが来ている。Clowd watchをみると、ここでそれぞれのリージョンのEC2インスタンスのうち2台を残して18台が停止されている。たぶん、これはAWS側で対処してくれたやつだろう。
• 一番高い請求は、 Asia Pacific (Seoul) リージョンの$74.69。 i2.8xlarge というめっちゃ強いやつで2時間で$16.00請求されている。仮想CPU32個、メモリ244GBってなんなん・・・
• オレゴンとか、今日の12:30〜22:00まで使われてるはずだけど、請求書には2Hrsまでしか記載されていない。→次の日になってきっちり料金が計算されていた。25万円なり。

その他の記録

料金