先日、AWSにてアカウントが乗っ取られ、高額請求されました。
当時はかなり不安でしたが、サポートのおかげで無事解決することができました。
今回は解決までの行動・カスタマーサービスの対応を時系列で書きたいと思います。
同じ境遇の方は少しでも参考になれば幸いです。
※当方はAWS初心者のため、この記事は初心者向けとなります。
[不正利用発生から解決まで]
12月7日:事件発生
AWSから1346ドルの請求(およそ16万円)が届く。
原因を確認したところ、高容量のインスタンスが複数作成されていた。(身に覚えが無い)
作成元をCloudTrail(アカウントのアクセス日時・元を特定できる)で調べると、アメリカから不正にアクセスされていることが発覚。すぐに該当アカウントの停止を行った。
その後、AWSのセキュリティ部門にアクセス元のIPについて問い合わせ、返信待ち。この時点ではかなり焦っていた。
余談だが、上記の部門は返金対応の部署では無いということに注意していただきたい。
12月9日:結果届く
セキュリティ部門の調査結果は次の通りだった。
Thank you for submitting your report. We have completed an initial investigation. Based on the information provided, we have determined that the reported content or activity is not hosted on or originating from the AWS network.(訳:ご報告をお寄せいただき、ありがとうございます。最初の調査を完了しました。報告されたコンテンツまたはアクテビティは、AWSネットワーク上でホストされていない、またはAWSネットワークから発信されていないと判断しました。)
この調査結果をもとにawsサポートセンターに問い合わせを行った。
サポートセンターの返信待ち中は心臓が止まりそうだった・・・
12月13日:サポートセンターの報告届く4日待ってやっと返信が届いた。 内容は以下の通りであった。(一部抜粋、数字は伏せてある)
ご担当者様
不正アクセスによるご請求が発生しておりますことについてご不安なご心情とお察しいたします。
担当部署よりケース: を通じて○月○日以降に複数回ご連絡させていただいておりますように、アカウントが不正に使用された疑いがございます。
なお、不正なアクセスによるものであった場合でも、AWS カスタマーアグリーメントに基づき、
アカウント下で生じるあらゆる活動については、料金を含めてお客様の責任でセキュリティを保持していただくものとなっております。お客様の事情を考慮して本アカウントがセキュアな状態になり次第、当窓口よりご請求金額調整の検討を依頼することは可能でございます。
担当部署による判断となり、現時点でお客様のご期待に沿う回答ができることお約束するものではございませんこと、何卒ご了承ください。
つまり、支払いが免除されない可能性があるとのこと。
これは、AWSの責任共有モデルにも記載されており大反省。(完全に見逃していた。。。)
同時にセキュア措置と不正アカウント・リソースの報告を依頼された。
セキュリティレベルを上げるために以下の対策を行う。
・Amazon GuardDuty追加
・Amazon Inspector追加
・2段階認証の追加
・アクセスキーの削除
・パスワード変更
(改めて見るとセキュリティに対する認識の甘さが目に見える。。。)
その他に対策を取りたい方はこちらを参考にしても良いだろう。
12月20日:セキュリティ措置の確認連絡届く
セキュリティ措置、不正アカウントの特定完了。以下抜粋。
担当部署より、本アカウントの保護措置確認が完了したのでご報告いたします。(年末のためか返信が遅くなっていたが、審査中の連絡が逐一届いた。サポートセンターには感謝しかない。。。)
引き続き、別の担当部署へ不正利用により発生したご利用料金の請求調整の依頼をいたしました。こちらも海外の別部署となりますため、返答を得られるまでに日数を頂戴する可能性がございます。
返答を得られ次第速やかにご報告をさせていただきますので、今しばらくお待ちくださいますようお願い申し上げます。
12月30日:返金連絡
そしてついにサポートセンターからの連絡が来る。
結果は、、、全額返金!!!
大変お待たせいたしました。
下記の通りご請求額の調整が完了し、担当部署よりクレジットカードへの返金手続きを行っております。
この度は、不正利用について早い段階でご相談いただき、またかかる調査や対策等に快くご協力をいただき誠にありがとうございました。
請求額調整のお手続きは以上で完了でございます。
本当にサポートセンターには感謝しかない。年末なのに対応していただいて大変助かった。
[発生の原因]
これはセキュリティに対する認識が甘かったことが原因だった。アクセスキーの放置、2段階認証の未実施など今振り返ると考えられないものばかりだ。
ただ、どのような経緯でログインされたのが分からない。よくあるのが、アクセスキーをGithubに載せてしまうといったケースだが私は行っていない。
(この辺りは知見がないため、何かわかる方いたら教えて欲しいです。。。)