Amazon S3 で静的サイトホスティングしていたサブドメインが乗っ取られた

乗っ取り発覚

ある日の早朝、Google Search Console に新しい所有者が追加されたとメールが来た。
かなり前に閉じたサイトだったので、不思議に思いながらも Google Search Console で確認すると、たしかに知らないアカウントが追加されていた。

そしてそのサイトを見に行くと 謎のGoogle Playのアプリのページが居座っていた

人のサブドメインを乗っ取った上、図々しくもサイトの所有権まで主張してきたのである。

（結果的にそのおかげで気付けたので少し複雑な気持ちではある。）

調査

このドメインはRout53で管理していてAWSにログインして確認すると、乗っ取られたサブドメインのレコードがあった。

もうずっと忘れていたが、昔S3の静的サイトホスティングで個人的に配信していたサイトで、S3バケットは削除したもののRout53でこのレコードを削除するのを忘れていたようだ。

自分でわかる範囲では怪しいログイン等はなさそうだったので、一旦サポートに何故こんなことになっているのかを問い合わせてみた。

原因

無料サポートでは調査出来ないと言うことで課金して改めて問い合わせてみたところ、原因が判明した。

・お客様にて、S3 の静的サイトホスティングにより DNS レコード {サブドメイン} を作成
・お客様にて、当該 S3 バケット {サブドメイン} を削除
・他の AWS アカウントにて、同名の S3 バケットを作成

で、こんなことになってしまっていたらしい。

なお、次回同様の事象が生じないよう、不要な DNS レコードがございます場合は、都度削除を実施いただきますようお願い申し上げます。

え？なんか怒られた？こっちが悪いの？
同様の事象が生じないよう、名前だけで勝手に紐づけるの修正しないの？

と文句を言いつつ社内で共有していると、どうやら既知の事例らしくこの手口を紹介しているいくつかの記事がみつかった。

つまり、これはそういう仕様なので文句を言ってはいけないのだ。

対応

Route53で該当レコードを削除。
Google Serach Consoleで悪い所有者を削除。

さいごに

ということで、S3静的サイトホスティングで配信しているサイトを閉じる時は注意しましょうという記事でした。