出典: DDoS攻撃でAWS請求が200万円に!S3・CloudFrontで絶対やるべきコスト爆発防止策 6選 - Qiita
2026年3月、個人開発者のS3バケットがDDoS攻撃を受け、3日間で160TBのデータ転送が発生し約$15,000(約200万円)の請求が発生。
S3はデフォルトでレート制限がなく、パブリックバケットへは事実上無制限にGETリクエストを送れる。160TB転送時のデータ転送料金は約$14,140(東京リージョン)。
| データ転送量 | 単価 |
|---|---|
| 〜10TB | $0.114/GB |
| 10TB〜50TB | $0.089/GB |
| 50TB〜150TB | $0.086/GB |
| 150TB超 | $0.084/GB |
| 優先度 | 対策 | コスト |
|---|---|---|
| 1 | S3 Block Public Access を全バケットで有効化(2023年4月以降の新規バケットはデフォルト有効) | 無料 |
| 2 | CloudFront + OAC でコンテンツ配信。S3への直接アクセスを遮断 | 従量 or $0〜 |
| 3 | AWS WAF レートベースルール(例:5分間2,000リクエスト超でBlock) | 約$7〜8/月 |
| 4 | AWS Budgets + Cost Anomaly Detection で異常検知 | 無料 |
| 5 | CloudFront 定額プラン(超過料金なし、ブロックされた攻撃は使用量にカウントされない) | $0〜$200/月 |
| 6 | AWS Shield Advanced(DDoS起因コストの返金あり、SRT 24/7対応) | $3,000/月 |
- Shield Standard は無料・自動有効。L3/L4攻撃は保護されるが、L7(アプリケーション層)はWAFで対応が必要。
- OAI(Origin Access Identity) は非推奨。新規設定では OAC を使用すること。
- AWS Budgets のアラートには数時間の遅延あり。 WAF や CloudFront 定額プランによる攻撃遮断と併用すること。
- S3 Block Public Access を有効化
- CloudFront + OAC を設定(Free プラン: $0/月)
- AWS Budgets でアラートを設定
- Cost Anomaly Detection を有効化