Amazon S3が不正なリクエストでも利用料が加算される現象、AWSが修正を完了したと報告

今回は「Amazon S3が不正なリクエストでも利用料が加算される現象、AWSが修正を完了したと報告」についてご紹介します。

関連ワード （不正、同社、請求等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Amazon S3の空のバケットに対してアクセスされると、たとえそれが第三者からの不正アクセスでエラーが返ったとしてもリクエスト料金が発生してしまうという現象について、AWSが修正を完了したと5月13日付けで明らかにしました。

これまでは空のバケットへのアクセス方法を知っている第三者が大量のリクエストを発行した場合、例えその結果「AccessDenied」（HTTP 403 Forbidden） エラーが返ったとしても、バケットの所有者には大量のリクエスト処理による利用料金が請求されてしまうという問題が発生していました。また、実質的にこれを防ぐ方法はないとされていました（AWSのドキュメント）。

4月30日にあるAWSユーザーのブログによってこの現象が明らかになった後、AWSのエンジニアは直ちに修正作業に入ったことが同社のチーフエバンジェリストであるJeff Barr氏によって示されました。

Update: S3 engineers are working to make unauthorized requests that customers did not initiate free of charge.

This change will cover a range of HTTP 3xx/4xx status codes, including all of those cited in the article. We're moving quickly and we plan to share more details this… https://t.co/Pw354WhSxj

— Jeff Barr (@jeffbarr) May 7, 2024

その修正が今回完了したことが発表され、AWSは課金対象にならないAmazon S3のHTTPエラーコードの一覧を明らかにしています。今回の修正によるアプリケーション側の変更は不要とのことです。