[AWS] Your Amazon EC2 Abuse Report というメールが来たら

Pocket

こんにちは。情シスのお姉さん の sumi です。

突然ですが、ec2-abuse@amazon.comという差出人から「Your Amazon EC2 Abuse Report」というメールが届くことがあるのはご存知ですか?

「なんだこれ」という人も多く、全文英語で送られてくるので何のことかわからず放置したくなると思いますが、これを放置するととんでもないことになるのでみなさん注意してくださいね。

 

Amazon EC2 Abuse Report ってなんだ?

Abuse Report (アビュースレポート) は、AWS 不正使用対策チームから送られてくるもので、EC2 で何らかの不正利用があったことをお知らせしてくれます。この件名のメールが届いたら、何かしらの対応をしなければなりません。

Abuse Report のメールを放置すると、48時間後に再度リマインドメールがあり、最終的には対象のEC2インスタンスが強制的に停止されるか、アカウントがロックされてしまいます。

 

メールの内容

Abuseメールの宛先は、「アカウントを登録したときのメールアドレス」と「代替連絡先」の「セキュリティ」の欄に登録したメールアドレスで、送られてくるメールはこんな内容です。

Hello,

We’ve received a report(s) that your AWS resource(s)

AWS ID:アカウントID Region:リージョン EC2 Instance Id: インスタンスID [EIP]

Activity of this nature is forbidden in the AWS Acceptable Use Policy (https://aws.amazon.com/aup/). We’ve included the original report below for your review.
Please take action to stop the reported activity and reply directly to this email with details of the corrective actions you have taken. If you do not consider the activity described in these reports to be abusive, please reply to this email with details of your use case.



続く

簡単に言うと「問題のある行為をしているから報告します。すぐに対策してメールにその旨返信してください。」ということらしい。

ちなみにこのメールを放置すると48時間後くらいに催促メールが届きます。

催促メールも無視すると対象インスタンスの停止やアカウントの停止といった措置がとられるそうです。

WEBサイトを運営なんかされているインスタンスだった場合致命的なダメージですね・・・!

ということで、このメールを受信したら早めに何らかの対処が必要だということを覚えておきましょう。

 

やること

Abuseメールを受信したらやることはざっくり3つあります。

  1. 対象のインスタンスの状態を把握
  2. インスタンスに対する何らかの対応を行う
  3. AWSへメールで返信する

 

状態の把握・対処

報告されている内容に心当たりがある場合は、その旨を返信しておしまい。でokですが、心当たりがない場合は外部から攻撃されているか、意図しないアクションを許可しているかもしれません。この場合、AWS側が何かサポートしてくれるわけではないので、自ら対処する必要があります。

対処法としては、報告されている内容をしっかり確認して、対象のインスタンスがどのような状態であるかを確認 (ログの確認 や 改ざんはないか…等) し、原因に応じた対処が求められます。

もし使っていないインスタンスだった場合は削除してしまうのが手っ取り早い方法ですが、ちゃんと原因は確認して適切な対策を講じるのがベストですね!

 

そもそもですが、日頃からAWSでできることとして、

  • GuardDutyを有効化 (原因を確認)
  • セキュリティグループを見直す (インバウンド・アウトバウンドの設定を確認)
  • IAM の権限を見直す (適切な権限設定を確認)

など、普段からセキュリティを意識して使いたいところですね。

 

メールに返信する

報告されている問題点が解消されたらEC2 Abuseチームへ返信しましょう。
※解消できていなくても24時間以内には返信が必要です

ちなみにメールの返信は日本語では受け付けていないそうなので全文英語で返信しなければなりません。

返信する場合、こんな感じで返信すればよいかと思います。

 

I stopped the corresponding EC 2 and launched a new environment.
(対象のEC2インスタンスを停止し、新しく作り直しました)

An outbound rule on the security group that allows all outbound traffic has been lock down.
(セキュリティグループのアウトバウンドルールを変更して外に通信がいかないようにしました)

We are currently investigating an issue.
(現在原因を調査中です)

 

↑わたしは英語が得意ではないので英語のできる外国人助っ人に協力いただきました。(お礼は柿ピー)

 

報告されている問題が解決されたら以下のようなメールが届きます。

Hello,

Thank you for your attention to this matter.

This case has been investigated and resolved by the AWS Abuse Team.

Best regards,
AWS Abuse Team

 

このメールを受信したら一旦は解決となります。

その他にも、以下のような事例で「Abuse Report」が配信される可能性があるようです

https://aws.amazon.com/jp/premiumsupport/knowledge-center/report-aws-abuse/

 

まとめ

Abuseメールを放置してはいけない! いうことはおわかりいただけましたでしょうか。。

  • Abuseメールは絶対に見落としてはいけない
  • 普段からセキュリティを意識した利用を心がける
  • AWS Guard Dutyというすばらしいサービスがあるのでこれを有効にして検知ができるようにしておく
  • 持つべきは英語ができる同僚

 

Guard Dutyについては本当に有能なサービスなので、またブログにも書けるといいなと思います。

 

今日もよいAWSライフを!

 

Pocket

The following two tabs change content below.
すみ
2011年KDLへ新卒入社し、WEBエンジニアとしての経験を積んだ後に情シスへ異動。2度の出産・復職を経て仕事も家庭も幸せな働き方を実践中。インフラエンジニア見習い。この世のすべての情シスを幸せにしたい。