アマゾンから約2000万円の超高額請求を受け取った話
2023年10月30日 ニッコーブログ
こんにちは。社内SEを担当しておりますCです。
普段は社内のコンピュータセキュリティを啓発していく立場なのですが、その裏では多数の失敗(セキュリティインシデント)を経験しております。
今回、ブログ発信の機会を頂きましたので、最近経験した【アマゾンから約2000万円の超高額請求を受け取った話】をご紹介したいと思います。
(本件の原因と結果についてですが、原因は他サービスからメールアドレスとパスワードが漏洩⇒AWSの乗っ取り⇒マイニングといった状況での請求で、結果的にはAmazon様のご厚意で免除頂きました。
Amazon様のAWSヘルプセンター様の対応は大変親切で素晴らしかったです。
正当な理由があり正しい手順でアマゾンへ申請すれば一度だけは請求免除になるとの事なので、この記事がどなたかの助けになれば幸いです)
【経緯】
私は個人で勉強の為にAmazonAWSというアマゾン上で仮想のクラウドサービスを立ち上げる仕組みを利用してます。
(ただの勉強目的なので月の請求は常に0円です)
※私は月額請求が1ドルを超えた場合はAmazonCloudWatchというAWSサービスでアラームメールを出す設定にしており完全に安心しきってました・・・しかし後で知ったのですがAmazonCloudWatchはメールは出してくれますが、AWS Lambdaと連動等を行わないとサービス自体は止めてくれないので注意が必要です
事のきっかけはあまり行っていない自宅PCの個人メールチェックからでした
この時点で危機感は0でしたが、とりあえずメールを適当に開いてみました。
案の定、英語のメールだったので息を吸うようにDeepL先生へコピペすると・・・
「ケース?何も問い合わせしていないが・・・」
ただ、確かにその前のメールではRE:[CASE xxxx] [ACTION REQUIRED]という件名のメールが来てます。
当然英語のメールだったので流れるようにDeepL先生へコピペすると・・・
アマゾンにケースナンバーと共に問い合わせてパスワードリセットを依頼⇒すぐに登録していた自分のスマホにSMSが来てパスワード初期化してログイン完了できました
(実はこの時点でログイン用のメールアドレスも変えられてました
スマホの電話番号は変更に実機が必要な為か変更されず無事でした)
ログイン後に、いつも何となく請求が0円である事を確認しているので軽い気持ちで・・・習慣レベルで本当に軽い気持ちで請求を見てみると・・・
「エッ・・・」
マジで一瞬ゲシュタルト崩壊しました
「あれ。。。数字バグってる?」
バグってるのは自分の頭でした
日本円の桁を見ると小数点ではありません・・・1890万円のせい・・・きゅう・・・
わずかに残った平常心で、何かの間違えではと思いサービスの内訳を確認すると
あまりにも予想外過ぎて何も考えられない状態に・・・
EC2を見てみると全く見覚えの無いインスタンスが多数乱立(300インスタンスくらいありました)
更に多数のリージョンにまたがって作成されている状態でした
「あ・・・マイニング・・・」
と咄嗟に思い浮かびました
【対応】
ヘルプセンターにケースの記入
新規に日本語のケースを立てたのと、既存の英語のケースに返信しました
するとすぐにAmazonから日本人の方が携帯電話に連絡して頂けました
(テンパってた自分相手にとても親切に対応して頂きました
Amazon日本法人様 ありがとうございます)
対応自体とても丁寧で親切でしたが、結果的に
「本件は金額が絡むのでAmazon日本法人では対応できない
Amazon本家でケースを立てて欲しい
英語でしかケースを立てれないので申し訳ないが、翻訳サービスを使って頑張ってほしい」
との事でした
【具体的に手を動かした事】
引き続き英語のケースから来たメールをDeepL先生と仲良くしながら対応
DeepL先生をもってしてもAmazonのヘルプページの翻訳は難しかったです
(専門用語や項目名も日本語翻訳されてしまいわけわからん状態&本当に作業内容が合っているのかどうかもわからん状況です・・・)
不安だったのでメールで
『日本人なのでヘルプページが良く分かりません(><)』
という大変頭の悪い内容を正直に送ってみたところ
『OK やって欲しい事を箇条書きするよ!(^^)b』
といった内容が返ってきました Amazonヘルプセンターマジ天使
①全てのリージョンの全ての不審なオブジェクトの削除
⇒リージョン内のインスタンスは100件単位で消せるのですがリージョン毎に手動でやる必要があり地味に大変でした
全部で20分くらいで作業完了です
(自分の身から出たサビなので仕方ない、これで無罪放免に近づけるのであれば安いものというマインドで作業
1リージョン作業完了する毎に罪が許されていく感覚に襲われました・・・)
②不審なユーザや権限の削除
⇒iamの見直しなど 不審なユーザと権限セットがあったので全て削除
③再発防止策の実行
⇒具体的に二段階認証を入れて下さいとの事なのでスマホにGoogle認証システムをインストールして設定
上記を行いました
この間も『やりました!』⇒『まだxxxが残ってるよ!』と言った形でマンツーマンに近い形で密にメールのやり取りをヘルプセンター様と行わせて頂きました
送られてくる英語も簡素で分かりやすくとても頼りになる存在でした
【結果】
全ての作業が完了している事をヘルプセンター様の方で確認して頂き、免除申請へと進んで頂きました
全てのリージョン削除と再発防止策を終えて二週間後・・・無事に請求免除されました
途中ヘルプセンター様から『免除申請中です』⇒『頑張ってます』⇒『遅れてごめんね』⇒『前向きに検討してるよ!あきらめないで!』みたいなメールが何度が来てて、メールを開けるたびにハラハラドキドキでした
(ありがたいのですけどね・・・)
【さいごに】
今だからツラっと書けますが、当時は人生で屈指の焦り状態でした
今回感じた事としては下記になります
①堅牢なパスワードでも流出したらアウト
⇒流出を確認したら、使ってるサービスを見直す
※【Have I been Pwned】というサイトがオススメです。以下は参考サイトです
個人情報漏れたかも?!Have I Been Pwnedでチェックしてみよう!|やわらかセキュリティ (yawaraka-sec.com)
②お金が絡むサービスは特に注意し、使っていない場合はアカウント削除する
⇒AWSは勉強の為に無料枠で使ってたのでお金が絡む意識がありませんでした・・・
③トラブった時に何をして良いか分からなくなる様なサービスは気を付ける
⇒Amazonのヘルプやメールがほとんど英語ベースなのでかなり焦りました。日頃から分からないものを分からないままにしておいたツケでした
④お金が絡むアカウントには必ずMFA(多要素認証)を行う
特に④が重要かと思います
(そもそもMFAを設定していればこんな事にはならなかったハズ・・・)
昨今ではあらゆるクラウドサービスからパスワード流出が確認されてます
パスワードが流出しても最悪の事態は避けられるように携帯電話認証などを使ってMFAは必ず設定しましょう
