AWSが不正利用されたが一部返金額が少なすぎた話。Part.5

AWSの不正利用に気付いてからすぐにイオンクレジットカードに利用停止と新カード発行の手続きを行っておりました。

また同時に不正利用の補填の調査も依頼していました。

それから約1か月経って電話による返答がありました。

AWSから約2か月分の返金があったことをカード会社も確認したというもの。

これからAWSにカード会社から問い合わせなどをして調査を進めるらしい。

ただしイオンカードの規約で2022年6月分までの返金調査しかできないということ。

金額にして約3万円ほど。

結果は2, 3か月後に出るらしい。

個人的にはカード会社はなにかと理由をつけて、補填はしてくれないだろうと思っています。

これでイオンカードの保障がどの程度手厚いのかが分かるいい機会だと思います。

AWSが不正利用されたが一部返金額が少なすぎた話。Part.4

AWSの今回の対応をみると、かなり飛躍しますがデジタル庁がAWSで日本の行政システムを運用するなんてとんでもない事だと思いました。

国の省庁が使っているシステムとなると民間でもどんどん利用が進むと考えられますが、知識のない者は不正利用されても全く気付くことができずに更にはその際の救済も見込めません。

 

まずセキュリティが脆弱すぎると感じました。

最近のWEBサービスには当たり前についているログイン時の二段階認証も「MFAデバイスの有効化」なる操作をユーザーが自ら調べて自身で設定を行わなければなりません。

更にはTwitchに実装されているログイン時のIPアドレスが記載されたのメール通知などもありません。

これでは不正ログインされたときに気付くことができません。

 

そういったセキュリティの脆弱性をそのままにしているのは、不正利用がされたとしても売り上げが上がれば問題ないという企業の姿勢だろうと思います。

特に仮想通貨のマイニングなどで不正利用される場合が多いらしいです。

知識が無いのでAWSの運用を他人任せにして、お金だけ払う中小企業などは被害に遭ってもまず分からないでしょう。

これが日本中で利用されて、不正利用にも気づかずにAmazonの利益になるのは非常に恐ろしい事です。

更にはアメリカの企業なので警察など各種機関は全く対応できず、ただただ被害に遭って泣き寝入りするというケースが今後さらに増えることでしょう。

 

ニュースなどでよくAmazon相手の訴訟などを見かけます。

今までは遠いアメリカの地での事として自分とは全く関係のない事だと思いましたが、実際に被害に遭うとその対応の酷さにはゲンナリします。

 

 

AWSが不正利用されたが一部返金額が少なすぎた話。Part.3

「不正利用の兆候が見られなかった」という調査結果の連絡から4日後、今まで不正利用に気付かなかった理由を尋ねられました。

正直に「食料品などの購入に限定してクレジットカードを使用していたので、利用明細を確認する習慣が無かった。毎月1万円程度の増額なので不正利用に気付かなかった。」と返答しました。

 

毎月請求書が記載されたメールを送っていたがなぜ確認しなかったのか?

という質問に関しても「全て英語で書かれたメールが送られてきても全く身に覚えが無いので分からなかった。」と返答しました。

Amazon関連の迷惑メールが非常に多く届いていて、さらに全文英語となると迷惑メールとして認識してしまうのは仕方がないと思います。

そして4日後、ついに返金調整依頼の結果が届きました。

 

結果はたったの3か月分の返金。

更には支払額のたった6割しか返ってきませんでした。

また、不正利用に気付きすぐにクレジットカード会社にカードの停止を依頼したため、8月分の支払いは行っておりません。

その分の支払いを済ませないとアカウントの停止をするという対応だそうです。

8月分の支払いを行っても6割しか返ってこないので、このまま支払わずに泣き寝入りになりそうです。

総額30万円近く被害にあっているにも関わらず、返金額はたったの2万円のみでした。

 

続く

AWSが不正利用されたが一部返金額が少なすぎた話。Part.2

 

最初の問い合わせから2週間後に上記のような「不正利用の調査結果」が返ってきました。

結果は「不正利用の兆候が無い」というもの。

当方はこの調査結果では返金の見通しが無いと思い、再度調査を依頼しました。

 

 

すると上記のような回答が返ってきました。

まず不正利用の兆候が無いとした根拠は「不正なアクティビティがあった場合はメールで通知をする」というもの。

しかし、当方がスマートフォンやパソコンなど異なる複数のデバイスでログインしてもメールの通知など来ず、また正常にログインした際の通知メールすら届かない状態でした。

2つ目は「複数のリージョンに大量のインスタンスが起動され、高額な請求が発生していないから」という理由。

ブログなどで記事に上がっているのは上記のようなケースで、いきなり数十万~数百万円の課金がされたという被害が多いです。

これだけの高額請求があれば一発で気づくのは当然です。

毎月数十万円~数百万円規模のコストで運用している場合などにおいて、数万円の課金額の増加で不正利用されていたと気付ける可能性はかなり低いと思います。

上記の理由について「海外からのアクセスなどは無いのか?」「ログイン時のIPアドレスなどを調べられないのか?」「少額の不正利用は高コスト運用しているユーザーは気づけないので、問題になっていないだけなのでは?」と問い合わせを行いました。

 

 

返答は「別部署で調査を行っているので調査基準は不明」というお決まりの文言。

当方の提案すら調査部署へ伝えて貰えませんでした。

少額の不正利用に関しては全く変わらない返答が返ってきました。

「調整の検討を依頼した」というこれ以上面倒な仕事を増やすなという対応でした。

 

続く

 

AWSが不正利用されたが一部返金額が少なすぎた話。Part.1

はじめまして。

当方はプログラミング知識など殆どないIT初心者です。

今回はAWSが不正に利用され、問い合わせたところ非常に少額の返金しかなかった事例をお話しします。

 

2020年頃AWSの知識があれば稼げるなどという軽い噂を聞きつけて、副業で稼げれば良いという軽い気持ちで試しに触ってみました。

その当時の記憶は殆どありませんが、チュートリアルをなぞっているだけでも難解な用語が多く、また英語のページが殆どでいちいち翻訳して進めるのも面倒だったのでそれから放置しておりました。

 

それから2022年8月になり、とあるきっかけで生活費などの支払いで利用しているクレジットカードの明細を確認したところ、見覚えのないAMAZON WEB SERVなるところから1万8千円程度の引き落としが発生していることに気が付きました。

当方はネット通販など頻繁に利用する場合はデビットカード、食料品購入などの場合はクレジットカードを利用するといった感じで使い分けていたので、クレジットカードの利用明細を頻繁に確認する習慣ができておりませんでした。

イオンカードを利用していたのでわざわざログインが面倒というのもありました。

利用明細を遡るとなんと2020年9月から毎月引き落としがされており、総額30万円を超える金額が不正に引き落とされておりました。

直ちにGoogleで調べようとしたところ「AWS 身に覚えのない請求」といった感じですぐに検索候補が上がってきたので、同様の被害者が居ることに少し安心感を覚えました。

色々調べていくうちにAWSの問い合わせフォームから連絡すればよいという事が分かり、すぐに問い合わせを行いました。

 

最初の問い合わせでは「2020年9月頃から身に覚えのない請求が続いていること」「当方はAWSおろかプログラミングの知識も全くないため毎月1万円を超えるようなサービスの運用などできないこと」を伝えました。

 

最初の返答では課金が発生しているリソースを削除することを指示されました。

まずリソースというものが何なのかすら分かりませんでしたが、何とかガイドに従ってすべて削除しました。

 

 

全てのリソースを削除した後、上記のような返答があり不正利用の調整を希望する期間を知らせること、セキュリティ強化などの指示を受けました。

ガイドに従ってすべて終えた後、当方もブログ記事の救済された方のように8割程度の返金がされるのだろうと楽観的に考えて少し安心しておりました。

 

続く