Cloudflareのダッシュボードへのログインアカウントへ多要素認証を有効化することができます。複雑なパスワードを使っているつもりでもパスワード認証のみであること自体が攻撃者にとっては魅力的なことです。攻撃者にCloudflareへ管理者権限でログインされてしまうと、ドメインを乗っ取られたことになりますので、死活問題です。パスワードを変更された場合、Cloudflare社へサポートチケットをあげることもできなくなります。
Cloudflareの多要素認証機能では、Google Authentication、Authy、Symantec、DUOなど様々なアプリと連携して認証することができます。多要素認証を設定すると、ログイン時にはパスワード認証後にトークンの入力を求められるようになります。
スマホを開いてトークンコードを確認します。以下はAuthyの画面です。
セキュリティサービスへの管理者ログインの認証が甘いようでは元も子もありません。少々面倒ですが、設定することをお勧め致します。
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事