
ワンタイムパスワードは本当に低リスクなのか!?
2017/07/03ネットバンキングなどでよく見かける「ワンタイムパスワード」だが、その役割と効果について、皆さんはどれぐらい知っているだろうか。覚えておいて損はない、ワンタイムパスワードのあれこれを見ていく。
◆不正ログインを防ぐにはワンタイムパスワードが活躍!
そもそもワンタイムパスワードは、通常のパスワードと何が違うのか。
ネットバンキングやユーザー登録したサイトのログインに使うパスワードは、自分で変えない限り、一度決めた同じものを使い続けることになる。
対してワンタイムパスワードはログイン時などに自動で発行されるパスワードのことで、一度しか使えない“使い捨て”が基本なのが大きな違い。英語表記の頭文字を取って「OTP(One Time Password)」ともいう。
ワンタイムパスワードには大きく分けて乱数を利用する方法と、パスワードを生成するのに専用機器(※「トークン」と呼ばれる)やアプリを用いるパターンが存在。乱数方式に関しては、ネットバンキングを使ったことがある人ならすぐ分かると思うが、カードの裏などに記載されている認証用の番号を組み合わせてログインする方法だ。
一方、トークンを使う場合、利用時に都度トークンでワンタイムパスワードを発行し、サイトのログイン画面に入力。アクセスした時刻やログイン用のパスワードなどと照らし合わせて、ログイン認証が行われる仕組みだ。
通常使われるパスワードは、第三者に知られてしまうと簡単にセキュリティを突破されてしまうが、ワンタイムパスワードの場合、利用ごとにパスワードの文字列が変わるため、盗用が原因となる不正アクセスを防ぎやすいとされている。
◆ワンタイムパスワードにも実は弱点が…!?
いまいちワンタイムパスワードが理解できないという人も、FacebookやTwitter、Googleなどの「2要素認証」「2段階認証」は使ったことがあるのでは。
2段階認証ではワンタイムパスワードが「認証コード」という形で送られてくるケースもある。任意の文字列が発行されるという点では、ワンタイムパスワードと同等の役割を持つと言える。
こうして見ると、ワンタイムパスワードのセキュリティ性能はかなり高く感じるが、何事にも完璧というものはなく、盤石に見えるワンタイムパスワードにも“弱点”はある。
それは、ワンタイムパスワードそのものに問題があるのではなく、どうやってワンタイムパスワードが送られてくるか、受け取るかという問題だ。メールやSMSで送られてきた場合、仮にPCやスマホがウィルス感染していると、受け取った瞬間に情報を盗まれる可能性もゼロではない。
事前にIDなどのログイン情報を取得されてしまっていたら、いくらワンタイムパスワードが1回限りのものとはいえ、正規ユーザーよりも先に使用されてしまう危険もある。
◆「トランザクション署名」「スマート認証」でさらなる対策を!
ワンタイムパスワードの送付手段の改善策として、ネットバンキングを中心にトークンを使ったワンタイムパスワード生成も見うけられる。専用機器を使ってメールなどを使わない分、外部からの攻撃の心配もなく安全性は高そうだ。
しかし、「MITB(Man in the Browser)」と呼ばれる、ブラウザを利用する通信の最中に攻撃するという手口も出現したため、たとえばネットバンキングで振込作業をしているときなどに攻撃を受けると、見た目は通常通りの結果が表示されるのに、裏側では被害にあっている……なんて事態も。
こうした次々に誕生する悪質な手口に対抗し、最近では「トランザクション署名」という方法を導入するネットバンキングも出てきている。
スマホやトークンを使って「取引内容をデジタル署名」する方法で、たとえば振込先の口座番号を入力すると、数値を元にデジタル署名を8桁の数字として表示。仮にブラウザ内で振込先を書き換えられてしまったとしても、振込画面で入力したデジタル署名用の数字を内部的に照らし合わせて、異変を察知できる仕組みとなっている。
ほかにもPCで振込手続きを申し込むと、即座に事前登録したスマホに通知が届き、そこで内容を確認して承認する「スマート認証」なども、不正対策に有効な手段のひとつとして注目を集めている。
セキュリティ対策は日々進化しているが、使う側がその仕組みを理解し、パスワードなどの入力は何のために、また本当に必要かを毎回確認することが、セキュリティを高める第一歩ではないだろうか。