Amazon S3の“不正なリクエストでも利用料が加算される現象”、AWSが修正を完了したと報告

[新野淳一，ITmedia]

この記事は新野淳一氏のブログ「Publickey」に掲載された「Amazon S3が不正なリクエストでも利用料が加算される現象、AWSが修正を完了したと報告」（2024年5月20日掲載）を、ITmedia NEWS編集部で一部編集し、転載したものです。

　Amazon S3の空のバケットに対してアクセスされると、たとえそれが第三者からの不正アクセスでエラーが返ったとしてもリクエスト料金が発生してしまうという現象について、米AWSが修正を完了したと5月13日付けで明らかにしました。

　これまでは空のバケットへのアクセス方法を知っている第三者が大量のリクエストを発行した場合、例えその結果「AccessDenied」（HTTP 403 Forbidden） エラーが返ったとしても、バケットの所有者には大量のリクエスト処理による利用料金が請求されてしまうという問題が発生していました。また、実質的にこれを防ぐ方法はないとされていました（AWSのドキュメント）。

　4月30日にあるAWSユーザーのブログによってこの現象が明らかになった後、AWSのエンジニアは直ちに修正作業に入ったことが同社のチーフエバンジェリストであるJeff Barr氏によって示されました。

　その修正が今回完了したことが発表され、AWSは課金対象にならないAmazon S3のHTTPエラーコードの一覧を明らかにしています。今回の修正によるアプリケーション側の変更は不要とのことです。