AWSから「24時間以内にインスタンスを止める」Abuse Reportが届いた【怖すぎる】

      2019/04/25

2年前に編集長を務めるTABIPPO.NETが100万PVをさくらからAmazon Web Service(AWS)に移行しました。その後は、試行錯誤しながらも構成を改善して、急なアクセス増加や大量の画像ファイルの読み込みについても処理できるようになりました。

「最近はAWSの管理画面見ながら冷や汗をかくこともなくなったな」と思い返していた冬の日に、1通の見慣れないメールがAWSから届きました。タイトルには「Your Amazon EC2 Abuse Report」と。

 

AWSから1通目のAbuse Report「お前のサイト、違反してっから」

メールをアカウント情報を除いて、そのまま掲載します。重要な部分のみ、ざっくりと翻訳しました。

 

Hello,

We've received a report(s) that your AWS resource(s)
AWS ID: ■■■■ Region: ■■■■ EC2 Instance Id: ■■■■

has been implicated in hosting a website that may contain content forbidden in the AWS Acceptable Use Policy (https://aws.amazon.com/aup/). We've included the original report below for your review.

Please ensure the reported content is removed or disabled, and reply directly to this email with details of the corrective actions you have taken. If you do not consider the activity described in these reports to be abusive, please reply to this email with details of your use case.

If you're unaware of this activity, it's possible that your environment has been compromised by an external attacker, or a vulnerability is allowing your machine to be used in a way that it was not intended.

(もし、レポート内容に心当たりがなかったら、外部からアタックされてるか、意図しないアクションを許可してるかもよ)

We are unable to assist you with troubleshooting or technical inquiries. However, for guidance on securing your instance, we recommend reviewing the following resources:

(今回のトラブルをAWS側が助けることはできないから、リンク先を読んで頑張ってね)

 

* Amazon EC2 Security Groups User Guide:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html (Linux)
https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html (Windows)

* Tips for Securing EC2 Instances:
https://aws.amazon.com/articles/1233 (Linux)
https://aws.amazon.com/articles/1767 (Windows)

* AWS Security Best Practices:
https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

If you require further assistance with this matter, you can take advantage of our developer forums:
https://forums.aws.amazon.com/index.jspa

Or, if you are subscribed to a Premium Support package, you may reach out for one-on-one assistance here:
https://console.aws.amazon.com/support/home#/case/create?issueType=technical

Please remember that you are responsible for ensuring that your instances and all applications are properly secured. If you require any further information to assist you in identifying or rectifying this issue, please let us know in a direct reply to this message.

Regards,
AWS Abuse

Abuse Case Number: ■■■■

 

いきなりこんなメールが。レポートの内容は自社のインスタンスを経由してスパムメールが送られてるっていう内容で、もちろん心当たりはありません。でも、アタックって言われてるし、対応しないわけにはいかないな。事実、スパムの送信先にも迷惑をかけてる。

どのくらいの緊急度なのかこれだけじゃわからないから、Googleで検索して下調べのみを進めます。Abuse Reportの

 

2通目のAbuse Report「インスタンス止めるから、悪く思うなよ」

1通目のメールを受け取ってから、2日後のメールです。こちらも原文と意訳を掲載します。

 

Hello,

We're writing to follow up on your outstanding EC2 abuse reports. We've observed Spam Website activity from account ■■■■, and haven't received a response from you regarding this. Please take corrective measures immediately and reply to this email to notify us that you've done so; failure to respond to this notice within 24 hours may result in your instances being isolated.

(早くメールに返信してもらっていいかい?返信がない場合、24時間以内にインスタンスを停止させるかもしれないから。よろしく!)

Instance ID: ■■■■

Please be aware: according to the terms of the AWS License Agreement (http://aws.amazon.com/agreement/), if we continue to see violation of the Acceptable Use Policy (http://aws.amazon.com/aup/), your instances and account may be subject to termination.

If you're unaware of the source of the reported abuse, it's possible that your instance was compromised by an external attacker. The best thing to do in this situation is to back up your data, migrate your applications to a new instance, and terminate the old one.

Please remember that you are responsible for ensuring that your instances and all applications are properly secured.

You can get more information on our security best practices with the following resources:

Tips for securing your EC2 Instance:
http://aws.amazon.com/articles/1233/

Security Best Practices:
https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

EC2 Security Group Documentation:
Amazon EC2 Security Groups for Linux Instances - Amazon Elastic Compute Cloud

AWS Security Center:
http://aws.amazon.com/security

Best regards,
AWS Abuse Team

Case Number: ■■■■

 

24時間以内に返信しないとインスタンス止めるの?! いきなりすぎないか。まじかAWS。24時間は極端だとしても、とりあえず確認したことを返信しとかないといけないな。エンジニアチームと優先度上げて対応しよう。

 

AWSからの驚きの返信「間違えちった!テヘペロ」

2通目に慌てて返信するも、なかなか返答がありません。とりあえず、インスタンスは無事なので、強制措置は免れているようですが...と思っていたら、3日後にドジっ子メールが届きました。

 

Hello,

Thank you for responding to this notice.

On further review we found that this notification was sent in error. This content is not in violation of our AUP and no further action is required. This case has been resolved.

(この前のAbuse Reportは間違いだったみたい!特にやることないから、安心してね!)

We apologize for any inconvenience.

Best regards,
AWS Abuse

 

これまでのメールは文末が「AWS Abuse Team」でしたが、今回だけ「AWS Abuse」です。AWS側も慌てたのかもしれません。何はともあれ、回避したかったAWSによるインスタンスの停止は避けられたのですが、かなりドタバタしました。

珍しいケースだと思うのですが、こういうこともあるという意味で共有でした。

 

AWSによるAbuse Reportの対策

Abuse Reportの内容についての対策は事象ごとになりますが、今回バタバタした理由の1つがAbuse Reportがroot権限者のみに届くようになっていことです。ちょうど海外取材中だったこともあって、気づくのに時間がかかりました。

AWSの仕様では、root権限者に加えてもう1つメールアドレスを通知先に追加できます。それ以上は「メールリストなどを使ってうまくやってね」との記載がAWS上にありました。

とりあえず、開発担当にも通知が届くように設定したので、これで見逃しのリスクが少し減りました。AWSが本当に24時間以内にインスタンスを止めるとは思いづらく、返信を促すために過激な表現にしているとは思いますが、可能性はあるので即対応できるように。

 

今回の記事は以上です。何事もなかったので事なきを得ましたが、最短だと24時間以内でインスタンスを止められる(isolatedされる)というのは運営社からすると死の宣告に等しいです。気をつけましょう、ドキドキしました。

ちなみに、本格的に取り組むと広大な知識を求められるAWSの勉強は、友人のエンジニアに勧められたこちらの書籍でしました。

改訂第2版が出たようです

 - プログラミング・Wordpress