AWSルートアカウント流出と不正利用で15万円請求と請求免除まで
これはぼくが適応障害で休職中に発生した出来事です。
TL;DR
- AWSは悪くない、悪いのは自分
- アクセストークンに気を使っていてもルートアカウント流出する時はある
- パスワードはとにかく強力にしろ
- 脆弱なものをずっと使っているとマジで破られる
- MFAは必須
- 請求アラートはいれておけ
- MFAは必須
- 真っ先にサポートセンターへ電話しろ
- MFAは必須
- 請求には反映まで時差があるので止めても24時間経つまでは跳ね上がることがある
- MFAは必須
- サポートプランはBasicのままでもいける
- MFAは必須
- 逆にアカウント機能制限になるからサポートプラン上げられないので注意
- MFAは必須
- MFAは必須
時系列
- メールボックス開いたら突然請求アラートが飛ぶ
- なんか全リージョンで全インスタンスが起動している
- CloudTrailを見ると海外からフツーにルートアカウントでコンソールログインをされている
- この時点で請求が6万円ほど
- 過呼吸になる
- 取り敢えずルートパスワードを強力なものに変更する
- 起動してたインスタンスや設定されていたVPCなど目についたリソースを全部消す
- MFA入れてなかったことに気付く
- MFAを入れる
- 過呼吸が止まらない
- 落ち着くために外に出る
- 帰ってきてCloudTrailで外部IPアクセスが無いことを確認
- 夜に急に請求が15万円に跳ね上がる
- 同じタイミングでAWSサポートからお前のアカウントが不正利用されているという旨の連絡が来る(英語)
- まだ使われているのかと過呼吸が止まらない
- 精神疾患を抱えているので不安で泣き叫びそうになる
- 耐えかねてサポートセンターへ連絡しようとする
- サポートプランを上げないと技術的サポートを受けられないという記事を読みサポートプランを引き上げようとする
- なんか決済に失敗する
- 決済が通らないことで電話しようとするが対応時間外
- サポートのフォーラムに文面だけは書いて残しておく
- 何も出来ないので友人に相談しつつ出来ることを模索して気分転換をする
- 震えて夜を過ごす
- 朝CloudTrailでログ確認をすることが日課になる
- 翌朝サポートとやりとりをし、どうやら決済機能が制限されていることを知る
- サポートプランそのままでも対応してくれるということを聞く
- 担当部門が海外なのでやりとりの例文をサポートの方が用意してくれ、それをベースに担当部門とやりとりをする
- 手厚いサポートに感謝で泣きそうになる
- 適宜担当部門から進捗の連絡がWebフォーム上で来てありがたい気持ちになる
- ここで請求更新には時差があることを知る
- やり取りが始まってから1週間半ほどで請求免除の連絡が来る
- 泣き叫びながらAmazonに忠誠を誓う
みなさんは気をつけましょう