ぷろぐら×でざいん

AWS(Amazon Web Service)を不正利用・アクセスされた時の対処法

AWS(Amazon Web Service)を不正利用・アクセスされた時の対処法

AWS(Amazon Web Service)を不正利用・アクセスされた時の対処法

# [Case 123456789] Your AWS account 123456789 is compromised
この件名でメールがAWSから届いたらもう被害に合っており、現在進行形で不正アクセスをされたと思って良いです。


アカウント停止は止めましょう。

ただ、既にアカウント停止を行っていた場合でも大丈夫なので…
まずは落ち着きましょう。私は滅茶苦茶パニックになり、すぐにアカウントを停止してしまいました。それが愚行だったと分かるまでに、停止してから4時間経過するまで気付かなかったです。何故愚行かというとアカウントを停止しても不正利用されているインスタンスが動き続けるからです。つまり、アカウントにアクセスができない上に請求額だけが膨らんでいく構造になります。


正しい対処法

0. 流出先から元のファイルを削除しましょう。レポジトリーを削除する方がより安全です。
1. ルートアカウントならすぐに全てIAMを削除しましょう。
2. 全てのリージョンのEC2を調べましょう。自分の立ち上げたインスタンスでないならすぐに停止(Terminate)しましょう。
3. 届いたメールの https://console.aws.amazon.com/support/home#/case/?displayId=[id]&language=en にアクセスしましょう。
4. メッセージに返答しましょう。日本の営業時間内なら日本語で、営業外なら英語に言語設定をし、WebではなくCallを選択しましょう。
5. 電話番号は最初の0を除いて記述しましょう。090-xxxx-xxxxなら90-xxxx-xxxxとして下さい。
6. 英語を選択した場合はアメリカから電話がかかって来ますので、もし英語での会話に自信がない場合はWebを選択する方が良いかもです。

注意事項

IAMが残っている場合、またはルートアカウントのアカウント情報が漏れている場合は不正利用・不正アクセスが止まりません。私の場合はIAMの情報が漏れていたので、IAMを止めることで不正利用を止めることはできましたが、ルートアカウントの場合はより深刻なはずです。是非、サポートセンターにアクセスして、すぐに電話をしてもらいましょう。(落ち着きましょう)

全てのリージョンを絶対に確認してください。私の場合は自分の使っていた東京以外は2つのリージョンに合計で40個のインスタンスを確認しました。


電話でのやり取り(事後処理後)

まず、ことの経緯を説明します。するとサポートのケースID、もしくはアカウントのIDを求められるので教えましょう。自分が行った事後処理を説明すると24時間の監視をすると仰って下さると思います。その監視後、問題がなければ請求の話に進むと思います。


電話でのやり取り(アカウントを停止している場合)

まず、ことの経緯を説明します。IAMを閉じ、アカウントを停止したが、どうやらアカウント停止後も動作しているインスタンスがある旨を伝えましょう。そうすると私の場合はアカウントを復活してくれました。それでEC2インスタンスとその他サービスの停止を行いました。


電話での内容が理解できなかった時

AWSのカスタマーサポートは本当に素晴らしく。電話での内容を改めてメッセージしてくれるので、少し聞き取れない部分があったとしても大丈夫です。


あとがき

私の場合は謝り倒しました。あと、正直に不正利用された分の請求がどうなるかを尋ねましょう。私は初めてのことだったこともあり、免除して頂くことができました。本当にAWS、そしてご対応頂いた多くのカスタマーサポートの方々には感謝しても仕切れません。完全にこちらの非ですので、正直、請求されても文句は言えないですが、一応AWS側の考えを仰いでみましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください