Tomo's IT Blog

技術的な調査メモ

iPhoneを交換したらAWSのMFAができなくなってしまった。そんな時の対処法

aws mfa iphone

先日、iPhone6sのバッテリー問題で新しいiPhoneに交換しました。
やっと、突然シャットダウンしてしまう問題から開放できたと喜んでいたのですが、新しいiPhoneをバックアップから復旧した後に、AWSコンソールにログインしようとGoogle Authenticatorを起動してみたら、なんとびっくりAWSの設定が消えてしまっていました。

とはいえ、新しく登録しなおせばいいのだろうと思って、パスワードでログイン後に表示される認証コード入力画面で、「認証デバイスに問題が有りますか?ここをクリック」をクリックしてみました。
しかしこの画面から再度AWSの設定が復旧するわけではないようです。そういえば、最初の設定段階でQRコードを読み込んでアカウントを登録したように記憶しています。これが出来ないと再度、MAFの設定ができない。当然といえば当然でした…。
しかし、ログインできないと何も操作できないわけで…。

解決するにはどうすればいいの?

よく見ると、画面右にContact Usボタンがありました。

f:id:tmnj:20170108022722p:plain

説明文には以下のようにあります。デバイスをなくしたわけではないですが、新しくしたわけなので、こちらのボタンを押してみました。

If you are unable to sign in because your authentication device is lost, damaged or not working properly, we will need to have an Amazon Web Services customer service representative help you regain access to your account. Please contact us with the details of your situation so we may further assist you.

そうすると、次のような画面が表示されます。まだ日本語訳画面ではないようですが、電話番号を入れるとAWSサポートから折り返し電話が来るようです。

f:id:tmnj:20170108014027p:plain

ただ、下の方に書いているように、最初の電話は英語ですが日本語のサポートを希望すれば(英語で)、日本語でのサポートもされるようです。
早速必要項目を入力してみました。

取り敢えず、理由としてはバッテリー故障に伴うiPhoneの変更なので、一番上の"My device was lost, stolen, or damaged."を洗濯して、自分の携帯の電話番号を入力します。一応+8190XXXXXと国際番号表記で入力してみました。

しばらくすると、携帯にシアトルの番号(iPhoneにシアトルと表示されていました。)から電話がかかってきました。恐る恐る取ります。取り敢えずHello!と。
自分はあまり英語が得意ではないので、iPhoneを交換したら仮想MFAが利用できなくなってしまったと伝えたのと、あまり英語が上手くないことを伝えると、日本語サポートが必要ですか?と聞かれましたので、Yesと答えました。そうすると、Japanサポートに連携すると言って電話は切れました。

しばらくしたら、AWSアカウントを登録しているメール宛に日本語サポートに連携した旨のメールが届きます。
さらに2−3時間程したら、AWSの日本のサポートの方から連絡が来ました。なぜか非通知でしたが…。

まずは、事情を説明するとMFAをサポート側で解除するということでした。実施した手順としては、

  1. 自分のメールアドレスをサポートの方に伝える
  2. メールが届くとワンタイムパスワードがメールに記載されているのでそれをサポートの方にそのまま電話で伝える
  3. するとすぐにMFAが解除できましたとサポートの方から言われます。

MFAが解除されれば通常のID/PWでログインできますので、新しいiPhoneで仮想MFAデバイスとして登録しなおせば万事解決しました。
注意点としては、日本語サポートは日本の営業日9:00〜18:00の間だけですので、休日や深夜に緊急にアクセスしなければならないという場合は英語での対応が必須となります。ただ、おそらくその場合も上記のような流れになるだけだと思いますので、落ち着いて対応すれば問題なくMFA解除してもらえると思います。

そもそもiPhoneを変えるたびにこんなことをするのは面倒なのでは?➛ Authyを使おう!

会社とかの組織でAWSを利用していれば、こんな時もちゃんとしたハードMFAデバイスなどが用意されていたり、複数デバイス持っていたりとすると思いますが、個人だとうっかりこういうことは起こってしまいますね。
今回であれば、iPhone交換前にAWSにログインして、MFA設定をオフにしておいて、新規iPhoneが入手できたら再度MFAの設定を実施という流れを取っていれば回避できます。しかし突然、デバイス故障となるとそういう方法も取れません。

今回は、Google Auchenticatorを利用していましたが、代わりにAuthyというアプリが利用できます。Authyは情報が暗号化されてバックアップされ、Authyに登録した電話番号とパスワードで復旧することが出来ます。使うならこっちのほうが良いですね!

みなさんも仮想MFAを利用している場合は気をつけて下さい。

もう一つ解決策としては、以下のサイトに書いてあるように、QRコードやシークレットキーのコピーを保存しておくというものです。

多要素認証(MFA)仮想デバイスの有効化 - AWS Identity and Access Management

Important
仮想 MFA デバイスが AWS と連携するように設定する場合、QR コードまたはシークレットキーのコピーを安全な場所に保存しておくことをお勧めします。こうすることで、電話を紛失した場合や、MFA ソフトウェアアプリケーションを何らかの理由で再インストールする必要がある場合に、同じ仮想 MFA を使用し、ユーザーまたはルートアカウントが新しい仮想 MFA AWS を作成する必要がないように、アプリケーションを再設定できます。

ただ、これだと保管場所の管理とか煩わしいので、個人利用の場合はあまりこの方法は取りたくないですね…。

色々記載しましたが、今回自分も無事に解決できました。
いざという場合は、AWSのサポートは非常に頼りになりますのでいざこのような自体になっても大丈夫ですよ!ご安心を!