ワンタイムパスワードとは?仕組みやアプリ・トークンの使い方を解説|サイバーセキュリティ.com

ワンタイムパスワードとは?仕組みやアプリ・トークンの使い方を解説



ワンタイムパスワードとは、ネットバンクやオンラインゲームで広く普及しているパスワードに関連するセキュリティを強化する仕組み。ネットバンキングでの振込や送金などを行う時にワンタイムパスワードの使用が必須というところも増えてきました。

これってどういう仕組みで動作しているのかご存じですか? 今回はワンタイムパスワードの種類と動作の仕組みについて解説します。

ワンタイムパスワードとは

ワンタイムパスワードとは、1回だけ使える使い捨て型のパスワードです。パスワードの文字列は、60秒や30秒ごとの一定間隔で更新されます。1度認証されたパスワードは使えなくなるため、仮にパスワード情報が盗まれても悪用できない仕組みです。金融機関の送金操作など、高度なセキュリティを求められるシーンで利用されています。

ワンタイムパスワード必須のサービスが増加

近年、ワンタイムパスワードを使うアプリやWebサービスが増えています。理由の1つに、銀行口座やクレジットカードの不正利用の増加が挙げられます。2020年度の警察庁の発表によれば、2020年度の不正アクセス被害件数は前年比で約2倍も増加していました。

今後さらに、ワンタイムパスワードの利用の拡大が予想されます。現在使っているサービスに導入される可能性もあるため、ワンタイムパスワードの使用方法を理解しておく必要があります。

金融機関以外のワンタイムパスワード利用シーン

これまでワンタイムパスワードが利用されているのは、銀行口座や証券取引所などの金融機関がメインでした。しかし、近年の情報セキュリティ意識の高まりから、金融機関以外のさまざまな場面でも用いられています。利用例には、以下の3つがあります。

  1. SNSやWebメール
  2. 仮想通貨(暗号資産
  3. リモートワーク

具体的な利用シーンを解説します。

1. SNSやWebメール

ワンタイムパスワードは、SNSやWebメールのログイン時にも利用されています。たとえばTwitterは、設定画面からワンタイムパスワードを追加できます。初期設定ではIDとパスワードによる認証のみなので、セキュリティを強化したい場合は追加すると良いでしょう。

Webメールでは、Yahooメールがワンタイムパスワードを導入しています。Yahooメールの認証設定は、SMSかメールアドレスによる二要素認証の選択が可能です。

多くのSNSとWebメールは、新規登録時にワンタイムパスワードを必要とします。しかし、ログイン時のワンタイムパスワードは、自分で追加設定するケースが一般的です。自分が求めるセキュリティレベルに合わせ、必要に応じてワンタイムパスワードを設定しましょう。

2. 仮想通貨(暗号資産)

仮想通貨を扱うアプリやWebサイトでも、ワンタイムパスワードが導入されています。仮想通貨の取引時も、金融機関と同様の厳格なセキュリティ認証が必要です。

2018年には仮想通貨取引所「コインチェック」が、不正アクセスによって580億円を流出させる事件が発生しました。こうした事件により、仮想通貨取引でもワンタイムパスワードの利用が広まっています。

3. リモートワーク

働き方改革や新型コロナウイルスの影響により、リモートワークを導入する企業が増えました。自宅から社内ネットワークにログインする際に、ワンタイムパスワードを利用する企業も多いです。

他方で、ワンタイムパスワード以外の方法を用いる企業もあるでしょう。たとえば、アクセスログなど複数の情報から、ユーザーの不正リスクを判定する「リスクベース認証」があります。他にも、事前登録した機器のみ認証する「デバイス認証」など、さまざまな認証方法が採用されています。

ワンタイムパスワードの発行方法の種類

それではワンタイムパスワードはどのように生成すればよいのでしょうか。現在、ワンタイムパスワードの生成方法は主に4つの方法があります。

トークン

トークンとはワンタイムパスワードを生成するための小型の端末のことです。トークンを使うと6桁の数字(パスワード)を生成でき、このパスワードはある一定時間だけ有効で、だいたい30秒から1分ごとに再生成されます。そのため一度生成したパスワードはなるべく早く入力する必要があります。

トークンとはどのようなものか、手持ちの「ゆうちょ銀行」のトークンと「ジャパンネット銀行」のトークンの画像を用意しました。

トークンにはパスワードを生成するためのボタンが付いており、必要な時にパスワードを生成することで使用できます。生成されたパスワードは一定時間が経つと無効になり、再度別の6桁の数字列が表示されます。

トークンはパスワードを生成するための大切な端末です。もしトークンを紛失したり盗難にあったりしてしまうと、悪意のある者によって不正にログインされてしまうリスクもあります。

トークンのみではIDや銀行の口座番号や支店番号はわかりませんが、トークンを紛失してしまったらほっておくことはできません。速やかに紛失したことを銀行などに連絡して、紛失したトークンの無効化と、新しいトークンの再発行の手続きを行う必要があります。

スマホアプリ

スマートフォンにアプリとしてインストールするタイプのものあります。スマートフォンがあればトークンを管理する必要がなくなり誰でも利用することができます。主要なネットバンキングでは専用のアプリを提供していることもあります。

スマホアプリとして利用する時は、アプリのインストール後にワンタイムパスワード利用登録を行う必要があり、電話などでアプリ設定用のパスワードが通知されることがあります。

メール

自分が普段使用しているメールにパスワードを送信させるタイプもあります。ワンタイムパスワードを使用したいサービスにあらかじめメールアドレスを登録しておき、パスワードが必要な時に登録してあるメールアドレスにパスワードが送信される仕組みです。

アプリのような手軽さはありませんが、メールという誰でも使える方法でワンタイムパスワードが利用できるのがメリットの一つです。GmailやYahooなどのフリーメールでは万が一、第三者にメールの内容を盗み見られる可能性があるので、プロバイダやキャリアのメールアドレスを利用することがおすすめです。

音声(電話)

電話を利用する事で音声によるワンタイムパスワードを受信できるものもあります。認証が必要になると予め登録しておいた電話番号に電話がかかってくることを示すメッセージが表示され、それにユーザーが同意すると電話がかかってきて、音声でパスワードが伝えられます。

登録した電話番号で受信できる電話が利用者だけが使えるので、パスワードの流出の可能性は低く、音声による通知なので記録にも残りません。しかし頭の中で記憶することが難しい場合はメモを取るなどして残しておくことも必要です。

ワンタイムパスワードの仕組み

ワンタイムパスワードには大きく分けて2つの仕組みがあります。「チャレンジレスポンス方式」と「時刻同期方式(タイムスタンプ方式)」の2つです。

チャレンジレスポンス認証方式

チャレンジレスポンス方式では、まずユーザーから認証サーバーに対してアクセス要求を送信すると、認証サーバーはランダムな文字列(チャンレンジ)を生成してユーザーに送り返します。ユーザーはそのチャレンジの文字列を使って、あらかじめ決められている計算式でパスワードを計算し、レスポンスとして認証サーバーに送信します。ユーザーが計算したレスポンス(パスワード)と、認証サーバーが計算したパスワードが一致していれば、認証成功とします。

時刻同期方式(タイムスタンプ認証方式)

時刻同期方式はトークンを利用するタイプの認証方式です。トークンで表示されるパスワードは生成した時刻によって異なります。そのため認証サーバーとトークンとの間に時刻のズレがある場合は正しく認証されません。このため時刻を同期させることが必須となります。

認証サーバーでは利用者ごとにどのトークンを使っているか、どの時刻にどのような数字が表示されるか、などの情報を保持しています。このような仕組みであるため、認証サーバーは正当なトークンの利用者であることを識別でき、同じトークンを別のユーザーが使用しても認証できないような仕組みになっています。

ワンタイムパスワードのメリット

ワンタイムパスワードを使う事で以下のようなメリットがあります。

パスワード管理の負担を減らせる

銀行やWebサービスのサイトではユーザーを識別するためにIDとパスワードによる管理を行っているところがほとんどです。使用しているサイトが増えるにつれて、管理するべきIDとパスワードの絶対数は増えていきます。

また法人などでは社員のIDとパスワードを一元的に管理しているところもありますが、社員の数が増えるとパスワード管理の手間も増えていきます。ワンタイムパスワードを導入することで、このような固定のパスワード管理の手間を減らすことができます。

不正ログイン防止など、セキュリティの向上につながる

ユーザーの中には複数のサイトで同一のIDとパスワードを使いまわしているかたもいらっしゃるかもしれません。しかし同一のIDとパスワードを使いまわすと、リスト型攻撃の標的となった際に、登録しているサイトに不正アクセスされてしまう危険性があります。

ワンタイムパスワードは一度きりの使い捨てのパスワードです。そのためたとえパスワードが盗聴されても、そのパスワードを使いまわすことはできず、さらに生成されたパスワードはランダムな数字列であるため、推測も困難です。このようにワンタイムパスワードを導入することでセキュリティの向上につながります。

ワンタイムパスワードの使い方

ワンタイムパスワードの使用方法は、種類によって異なります。次の4種類ごとに、手順を解説します。

  1. トークン
  2. スマホアプリ
  3. メール・SMS
  4. 電話音声

順番に説明します。

1. トークン

金融機関で発行される「専用トークン」による認証方法です。主に、送金時にワンタイムパワスワードを求められます。ここでは、ゆうちょ銀行のカード型専用トークンを例に見ていきましょう。

  1. 「ゆうちょダイレクト」で振込手続きをする
  2. ワンタイムパスワードの入力を求められたら、トークンの「3」を押す
  3. トークンに送金先口座番号を入力する
  4. トークン右下の決定ボタン「←」を押して、トークンの画面にワンタイムパスワードを表示させる
  5. ワンタイムパスワードを、ゆうちょダイレクトの入力フォームに入力する

以上の手順で、安全にゆうちょダイレクトから振込・振替手続きをおこなえます。

トークンの電池が切れそうになったら

専用トークンはハードウェアなので、いつか電池切れになります。自分では電池交換できないため、金融機関で再発行手続きをしてください。

ゆうちょ銀行の場合、電池残量が少なくなるとトークンの画面に「Lo-bAtt 2」の文字列が表示されます。文字列が表示されたら、電池が切れる前に手続きしましょう。

ゆうちょ銀行のトークン再発行方法は、公式ページをご参照ください。他の金融機関は、「金融機関名 トークン 再発行」で検索して、案内ページを確認しましょう。

トークンを紛失してしまったら

トークンを紛失したら、すぐに金融機関で利用停止手続きをしてください。トークンを採用している金融機関であれば、「金融機関名 トークン 紛失」で検索すると専用の案内ページへ辿りつけます。ゆうちょ銀行を例に挙げると、こちらのページから紛失センターへ電話をかけられます。電話後、Webサイトから再発行手続きをおこないましょう。

2. スマホアプリ

スマートフォンのワンタイムパスワードは、主に金融機関のアプリで用いられます。トークンとは異なり、スマートフォン内で使えるため発行手数料はかかりません。最近は、トークンよりも主流の方法です。

Webブラウザから送金手続きをする場合、別途アプリを立ち上げてワンタイムパスワードを表示させます。以下、三井住友銀行アプリの例です。

1. Webブラウザで振込手続きをする

2.「三井住友銀行アプリを起動」をタップする

3.アプリのワンタイムパスワードをコピーする

4.「ワンタイムパスワードの入力」に入力する

5.「実行」をタップする

以上の手順で、ワンタイムパスワードを使った振込は完了です。アプリの中には「不正送金の疑いはないか?」と確認表示されるケースもあります。表示された場合は、「はい」を選択してワンタイムパスワードを表示させましょう。

3. メール・SMS

サービスの新規登録・ログイン時に、登録済みのメールアドレスやSMSに認証コードを送信する方法です。

こちらは、Twitterの新規登録時にメールアドレスに送られるワンタイムパスワードです。

また、こちらはフリマアプリ「メルカリ」の登録時のSMSです。

どちらの場合も、認証コードを入力すると新規登録が完了します。

4. 電話音声

電話音声による認証方法です。アプリやメールアドレスを使った認証ができない場合に用いられます。登録している電話番号から認証用番号に発信し、機械音声によるワンタイムパスワードを聞き取ります。Webサイトの入力画面にワンタイムパスワードを入力すると、認証が通る仕組みです。

よくある質問

最後に、ワンタイムパスワードに関するよくある質問に回答します。

  1. ワンタイムパスワードがあれば安全?
  2. ワンタイムパスワードを忘れた場合どうしたらいい?
  3. ワンタイムパスワード発行に使っているスマホを機種変更したい
  4. ワンタイムパスワードを発行しているアプリの解除前に機種変更してしまった

順番にお答えします。

Q1.ワンタイムパスワードがあれば安全?

A.IDとパスワードのみの認証よりも安全ですが、100%安全だとは言い切れません。

ネットバンキングを狙う攻撃は多数ありますが、中でもMITB攻撃の被害に遭うとワンタイムパスワード認証を突破されてしまいます。

MITB攻撃は、マルウェアを端末内に潜伏させる攻撃です。ユーザーがネットバンキングにログインすると作動し、送金先や金額を不正に書き換えます。ユーザーからは正常に取引が終えたように見えるため、被害発覚が遅れやすい点が特徴です。

こうした攻撃から身を守るためには、マルウェア感染を防ぐセキュリティソフトの導入をおすすめします。

Q2.ワンタイムパスワードを忘れた場合どうしたらいい?

A.ワンタイムパスワードは一定間隔ごとに発行されているため、忘れても問題ありません。

ワンタイムパスワードは、30秒や60秒間隔で新たに生成されます。忘れたパスワードは無効になるため、新たに表示されたパスワードを入力しましょう。

Q3.ワンタイムパスワード発行に使っているスマホを機種変更したい

A.機種変更前に、現在のスマートフォンのワンタイムパスワード登録を解除します。

細かな手順はアプリごとに異なりますが、以下の流れで機種変更をしましょう。

  1. 古いスマートフォンのワンタイムパスワードを解除、または削除する
  2. 新しいスマートフォンにアプリをインストール
  3. 新しいスマートフォンのワンタイムパスワードを有効化する

アプリによっては、解除手続きが不要な場合もあります。たとえば、三井住友銀行のアプリは古いスマートフォンの操作はいりません。新しいスマートフォンでワンタイムパスワードを有効化した後、古いスマートフォンからアプリを削除するだけです。

ただし、ほとんどの金融機関は、電話番号を変更する場合は事前の届出が必要になります。機種変更前に、電話番号の変更手続きをしましょう。

Q4.ワンタイムパスワードを発行しているアプリの解除前に機種変更してしまった

A.基本的に、新しいスマートフォンでワンタイムパスワードを有効化すれば問題ありません。

多くの金融機関では、上記の方法で移行が完了します。ですが、機種変更と同時に電話番号も変更した場合は、事前の届出が必要です。届け出ていないのであれば、オンラインで手続きできない可能性があります。金融機関に問い合わせ、対応してもらいましょう。

まとめ

ワンタイムパスワードについて解説してきました。ネットバンクやオンラインゲームではかなり以前から導入されていた技術ですが、詳しい仕組みについて知らなかった方もいらっしゃったと思います。これまで使われてきた固定のパスワードを使用する方式と比べても、ワンタイムパスワードはセキュリティが高いことがおわかりいただけたと思います。

ワンタイムパスワードは手間がかかる・面倒という印象をお持ちの方もこれを機会に導入してみてはいかがでしょうか。


SNSでもご購読できます。