AWSが不正利用された件に対する対応(その後・請求額変更編)

AWS logo
おまけです






最終的に不正利用分が全額免除されました

最初は不正利用分のうち4割ぐらいしか免除してもらえず、平均的な月額使用料に比べるとかなりの高額請求が残ったままでした。


なお気になる請求額(さすがに額は明らかには出来ません)についてですが、様々な報告と交渉の結果、かなりの額については「今回だけよ」ということで免除してもらえました。しかしやはり不正利用全額免除とまでは行かず、まだ結構な額を請求されていて担当者が引き続き交渉中のようです。契約上、全ての責任はAWSではなくユーザーの方にあるので「だからちゃんとしろよって言ってるじゃん」と言われたら終わりで支払うしかないんですけど、心情的にはもうちょっと免除してくれませんかという感じ。わかりみ。

AWSが不正利用された件に対する対応(その3・技術対応編) – NOBODY:PLACE


僕としてはAWSがどういう判断をするのか全くわからなかったので、「無理かもしれませんけど交渉するだけしてみたら良いんじゃないですか」ぐらいの感じでしか勧められませんでしたが、AWS窓口とのやり取りを通してどの請求が不正利用かわかりやすくなるような説明を追加していったら……なんと(今回に限りだけど)不正利用分がほぼ全額免除してもらえました。先月の請求分に関しては既に請求額が確定され請求書が発行されている状態ですが、それに対して「返金」という形で戻ってくるようです(取引先が既に支払い済みなのかどうかは不明)。


なにを伝えたか

ポイントは2つです。


  1. 増加した請求額のほとんど全ての部分はECSによるものだが、ECSはこれまでに一度も利用したことがなく請求が発生したこともない。よってECSに関する請求は全て不正利用によるものと言える。
  2. セキュリティ管理について、AWSの設定とプログラム両方に不備があったことを認める。対策としてアカウントキーの使用を止めるとともに、ロールやポリシーの権限範囲を最低限まで小さくしたので、今後同じようなインシデントが発生することは考えられない


責任はこちらにあり免除してもらえるかどうかはAWS次第なので、出来る限り懇切丁寧にかつ徹底的に説明します。今回は普段使用していないサービスが不正利用されたことで線引きしやすく、主張もしやすかったと思います。



最終結果

生の請求額を明らかにするわけにはいかないので、賃貸マンションに住む人の光熱費に例えて書くとこんな感じです。


  1. 月家賃12万円、光熱費3万円で合計15万円が毎月の平均的な支出
  2. 2023年7月の請求額が突如500万円に
  3. よくよく調べてみると盗電されていて光熱費が3万円から488万円に増えていた
  4. 盗電を排除し、電力会社と交渉してなんとか減額してもらえたけどまだ請求は200万円残ってる状態
  5. 再度交渉を行って最終的な請求額は光熱費3万円になり、普段通りの支出額に


あくまで「次はないですよ?」という話ではあるのですけど、まさかここまで譲歩してもらえるとは思いませんでした。いやあ、言ってみるもんですね。


皆さんも諦めずに交渉しましょう。きちんとした証拠や判断基準を提供できればもっと免除してもらえるかも知れません。