仮想MFAデバイスを設定するときは別の手段で復旧できることを確認しよう

1 min read読了の目安(約1600字

初出:https://qiita.com/studio15/items/d9a7ef350da7e28ccbb0

先日ふとしたきっかけでスマートフォンを初期化したのですが、仮想MFAデバイスの「Google認証」が入っているにもかかわらず何も準備せずに初期化してしまったため、仮想MFAデバイスが設定してあるすべてのサービスにログインできなくなってしまいました😨

TL;DR

  • MFA設定時には、紛失したときに復旧できる手段が正しく動くことを確認する
  • 入力時にverifyのチェックが入らない連絡情報は注意する
  • AWSの連絡先情報の電話番号は国コード付きのものにする

Googleアカウントは自力で復旧できた

Googleアカウントは復旧用に電話番号の設定をしバックアップコードを控えていたので安心です。
まず電話番号による認証を試したところ、かかってきた電話で読み上げられたPINコードを入力することによって復旧できました。
もし何かしらの事情で電話番号が使えなくなってもバックアップコードによる復旧ができます。

AWSアカウントは自力で復旧できなかった

AWSはMFA紛失時にメールアドレスと電話番号の2ステップによる認証で復旧できるのですが、なぜか電話番号認証のステップがうまく動かず電話がかかってきません。

AWSアカウント復旧への道のり

「これはまさか噂に聞く公証人コースか?ほとんど使ってないアカウントだからお金をかけてまで復旧するのは嫌だな…」と思いながら、まずはMFA紛失専用お問合せフォームから紛失の旨を申請します。
このとき「Country associated with your phone number」という項目があり、なぜ電話番号認証のステップがうまく動かないのか何となく想像がつきました。

電話でMFAを解除してもらう

ベーシックサポートプランだったので、申請は休日に行ったのですが電話は連休明けの平日の午前中にかかってきました。
解除のステップはセキュリティ上の事情で省略しますが、メールアドレスさえ生きていれば復旧できるようでした。
窓口は通常のアマゾンのコールセンターのようで、電話番号認証が動かない理由などテクニカルな部分は不明とのこと。

AWSの連絡先情報を確認する

無事MFAが解除され再びログインできるようになったので、MFAを再設定した後に「マイアカウント」ページの「連絡先情報」を確認します。
メールアドレスは問題ないのですが、電話番号は「090XXXXYYYY」と入力されていました。
紛失申請時にアタリをつけていた通り「+8190XXXXYYYY」と国コード付きの電話番号に修正してログアウト、再ログイン時にMFA紛失時と同じフローをなぞってみたところ、今回は電話番号認証が期待通りに動作しました。

反省

バックアップは復旧できることを確認して初めてバックアップになる」という基本をログイン手段に当てはめられていなかったのが失敗でした。

まとめ

大事なことなので2回書きます。

  • MFA設定時には、紛失したときに復旧できる手段が正しく動くことを確認する
  • 入力時にverifyのチェックが入らない連絡情報は注意する
  • AWSの連絡先情報の電話番号は国コード付きのものにする