AWS

AWSのアカウント作成でタイポしてクレカ情報が危険にさらされた話

はじめに

今回、対応して下さったAWSのカスタマーサービスの方の対応が丁寧で大変助かりました。
当時、Webで検索したときに類似の記事が出てこずパニックになったので、少しでも私と同様の過ちが減らすことができれば、という思いで記事にしました。

それはAmazon Prime DayでEcho Dotを購入したことから始まる

この間のAmazon Prime Dayで3000円?!ガチャ一回より安い!と購入した。
やはり購入するとカスタムスキルを開発してみたくなったためAWSアカウントを作成することにした。

AWSアカウントを作成したのにメールが届かない

何故か深夜にアカウントを作成しようと思い立ち、住所、クレカ情報など順調に情報を記入した。いざログインしようとメールアドレス、パスワードを入力としたが入れない。何度か再入力したがやっぱり入れない。登録したメールアドレスのボックスを見てみると、アカウントを作成し終わると届くはずのno-replay-awsからメールが届いていない。

ここで、メールアドレスのタイポを疑い始めた。
もし、タイポしたメールアドレスが存在していて、誰かにメールが届いていたらと思うと血の気が引いた。
さらに調べるとメールアドレスだけでAWSアカウントのパスワードが変更出来てしまうとのこと。
ますます焦り、とりあえず自分がタイポしそうなメールアドレスを20通りほどでログインを試みたが、やはりログインできなかった。

どうやら同じメールアドレスは登録できないようなので、同じメールアドレス(タイポしていない正しいアドレス)でアカウントを再び作成してみた。
するとすんなりアカウントが作成されてしまい、登録が完了したことを伝えるメールが届いた。

ここで、2つの可能性が考えられた。

  • タイポしたメールアドレスでAWSアカウントが作成されている
  • タイポしたメールアドレスが認証できず、AWSアカウントが作成されていない

AWSへ相談だ

そこで、正しいアドレスで作成したアカウントでログインし、AWSカスタマーセンターに相談することに。
「現在のアカウントと同条件(クレカ情報など)でアカウント作成したはずなんだけど、登録時にメールアドレスをタイポしちゃっててログインできない、どうしよう」という旨を問い合わせして、とりあえず寝ることに。

なかなか返信が返ってこなかったが、不正利用されていたら電話がかかってきた例を見ていたので、恐らく使われていないだろうと思い込むことにした。
問い合わせをして3日後に返信が返ってきた。

要約すると、

  • AWS アカウントは作成時にメール認証を実施していないから、無効なメールアドレスでもパスワードと照合がとれればアカウントの作成は可能

  • アカウントの解約や情報削除はセキュリティポリシー上AWS 側では出来ないため自分でアカウントにログインしてご実施しないといけない

ということらしい。

まさかクレカ情報まで登録しているのにサインイン情報として使用されるメールアドレスを認証していないとは……。
かなり衝撃的だが、ひたすらログインを試していくしかなさそうだと分かった。

タイポしそうなメールアドレスを作成する日々

自分がタイポしそうなメールアドレスをひたすら作成した。
深夜にアカウントを登録したこと、メールアドレスをきちんと確認しなかったことをひたすら後悔した……。

しかし、冷静に考えるとタイポしたメールアドレスは一体何通り作れるのか考えると恐ろしくなった。やはりタイポしたメールアドレスを特定することは難しいと考え、AWSカスタマーセンターへどうにか同じクレジットカード情報を持つアカウント情報を教えてもらうことができないかと藁にも縋る思いで返信したのだった。

終わりは突然やってくる

今日も今日とてタイポしそうなメールアドレスを作成してログインを試みていた。
大概はパスワード入力画面に行く前に「サインイン情報に一致するアカウントは存在しないよ」と怒られることが多いのだが、珍しくパスワード入力画面までたどり着けた。少し期待しつつ、パスワードを入力すると……は、はいれたー!!
アカウント情報を見るとやはり最初に作成したアカウントで間違いないようだ。
すぐにアカウント解約し、AWSカスタマーセンターへその旨と感謝を報告した。

今回の教訓

AWSアカウントを作成するときはメールアドレスは1回しか入力しない上に認証もないためメールアドレスをよく確認して入力しよう。

(因みにタイポはドメイン名が間違っていたので、メールアドレスはどこにも届いていないはずだ。これがユーザー名のタイポだったらと思うと恐ろしい……)