AWS

AWSのMFAキーを紛失して17,000円払った話

先日スマホの機種変更をした際に、AWSで使用しているMFA(Multi-Factor Authentication)キーの移行に失敗して、 解除してもらうのに(2022/9/9解除完了)17,000円の費用がかかった話です。

これまで、AWSへのルートユーザのログインには、Microsoft Authenticatorを使用して、コードを入力していました。

先日スマートフォンを買い替えた際に、当然新しい機種にもこのアプリをインストールして、 まずoutlook.comのアカウントを移行しました。 AWSのアカウントも古いスマホには表示されているのですが、「バックアップ」機能なるものがあるそうなので、新しいアプリでもAWSアカウントを後から追加できるだろう、 と思い、(どこで読んだか失念)勧めに従って古いスマホからはアプリを削除しました。

….この時点で実はかなり詰んでます。

このアプリでは、どうやら(成功しなかったので実際に確認したわけではない)古いスマホでまずバックアップを作成し、 新しいスマホにアプリをインストールして起動した直後に「回復」をしないといけないようです。 一旦「回復」せずにMicrosoftのアカウントだけ移行してしまい、新しいスマホ側でバックアップがONになっていると、 おそらく古いスマホで設定した、それ以外のアカウント情報は無くなってしまうと思われます(このあたりは若干不確か。古いスマホでAWSのアカウントが正しくバックアップされていなかった可能性もある)。

いずれにせよ、Microsoft AuthenticatorではAWSのアカウントは復活できなさそうということに気づいたので、 何らかの回避策を利用してAWSにログインできるか試してみました。 AWSのコンソールからルートユーザを選択し、メールアドレス、パスワードを入力しました。次いで、本来であればMFAのコードでログインできるのですが、 もう情報がなくなっているので、それっぽい"Sign In Using Alternative Factors of Authentication"を選択します。 すると、登録されたメールアドレスにリンクが送られてくるので、そちらをクリックします。 次いで、登録された電話番号で電話を受けて、コードを入力してログインできます。

…というのが普通なのですが、表示された電話番号下4桁を見て気づきました… もうこの電話番号解約済みだし… MFAデバイスの紛失および故障時の対応 に記載されていますが、ルートユーザのMFAデバイスの回復には、 アカウントに登録されているEメールと主要連絡先の電話番号が使えることが必須です。 これが満たされない場合、サポート依頼をせず回復することは不可能です。

というわけで、“Contact Customer Service"からヘルプ依頼を出しました。

すると、平日にAWSから電話がかかってきました。最初は上記MFAデバイス紛失時の対応方法のように、電話をかけるので、コードを入力してと言われるのですが、 そもそもそれができなくなっているので、ヘルプをお願いした旨伝えました。

すると、回復方法をメールで案内する旨伝えられます。しばらくするとメールが送られてきました。MFAを解除するには、必要書類に記入して提出せよ、との内容です。

実は、この必要書類が本題です(前書きが長かった)。

日本の企業であれば、免許証のコピー提出程度で許してくれそうですが、さすがは訴訟大国アメリカ、そうは問屋がおろしません。

主な書類は、"MFA Identity Verification Form and Affidavit“という英文フォームです。これを印刷して、公証人(Notary Public)による認証を受けてサインしてもらったものを提出しないといけません。 これは宣誓認証にあたるようです。大雑把にいうと、自分が当該アカウントを所有しており、虚偽があって第三者がAWSを訴えるような場合、自分が全責任を負う、といった内容について宣誓を求められます。

自分で記入するだけでは飽き足らず、公証人による認証まで要求するところがアメリカンです。

本場アメリカでは、州によって費用は違うようですが、(Notary Public Fees, Notary Fees: What the Notary May Charge to Perform Services in California) 最近のドル円レートで計算しても、2,000円程度で済みそうです。

2,000円程度なら、まぁ仕方ないね、で済むと思いますが…

日本だと17,000円かかります

えっ… 私のAWSのMFAロック解除にかかる費用高すぎ!?

日本公証人連合会のホームページで案内されていますが、手数料は"宣誓認証” (11,000円)に該当し、かつ"外国文の認証” (6,000円)が適用され、合計17,000円となります。 予約は必要でしたが、手続自体は30分程度もあれば完了します。

いわゆる天下りした方々が公証人になっているようで、実に美味しい商売です。

個人の実験用アカウントで、費用請求されるほど使用しているものではなかったので、放置というのも一瞬頭をよぎりましたが、 後々面倒になるのも困るため、やむなく17,000円払って書類を準備して提出しました。そもそも公証役場自体、利用するのは人生初でした。

公証役場帰りに、ちょっと遅い焼肉ランチを食べました。17,000円からすれば2,000円以下なんて誤差の範囲ですね!! (泣)…

焼肉

ちなみに、役場の女性と少し雑談した感じでは、同じような状況での公証依頼はぼちぼちあるようです。

対処方法としては、以下のように

  • AWSに登録されている電話番号は常に最新のものにしておく(MFA移行に失敗した場合にロック解除するため)
  • そもそもMFAを使用しない
  • 新しいスマホのアプリでAWSのアカウントが追加されているまで絶対に諦めない(古いアプリを消さない)。移行がうまくいかない場合、 一旦古いスマホでAWSにログインして、MFAを解除して、新しいスマホで再度有効化することができると思います(未検証)。
  • SMSベースのMFAを使用する

いくつか考えられますが、最後の方法はそろそろ使えなくなるそうです。

とにかく、AWSでMFAを使用されている場合、十分注意し、絶対に私と同じ轍を踏まないようにしてください!! 代わりに17,000円で美味しいものを食べてください!!

© 2019 東京に住むプログラマ (webmaster@living-in.tokyo). Based on MH Magazine lite.