「ワンタイムパスワードって何?」「SMSが届かないけどどうすれば?」——そんな疑問をお持ちではないでしょうか。ワンタイムパスワード(OTP)とは一度しか使えない使い捨てのパスワードで、不正アクセス対策として金融機関からSNSまで幅広く採用されています。本記事では仕組み・受け取り方・届かない場合の対処法・注意点まで初心者向けに解説します。
ワンタイムパスワードは30〜60秒ごとに自動更新される使い捨てパスワードで、たとえ盗まれても再利用できないため不正アクセスのリスクを大幅に下げられます。ただしリアルタイムフィッシングやMITB攻撃には対応できないため、多要素認証との組み合わせが重要です——これがポイントです。
この記事の目次
ワンタイムパスワード(OTP)とは
ワンタイムパスワード(OTP:One-Time Password)とは、一度だけ使用できる使い捨てのパスワードです。「ワンタイム(One-Time)」は「一度だけ」を意味し、認証のたびに異なるパスワードが生成されます。有効期限(30秒〜数分)を過ぎると自動的に無効になり、一度使用したパスワードは再利用できません。
従来の固定パスワードは一度流出すると不正アクセスに悪用され続けますが、OTPは毎回異なるパスワードが生成されるため使い回しの概念がなく、仮に盗聴されても有効期限内に使用されなければ無効となります。またパスワードリスト型攻撃(複数のサービスで同じパスワードを使い回している場合に、流出した情報で他サービスへも不正ログインを試みる攻撃)に対しても有効です。不正アクセス被害が増加する中、より強固な認証手段としてOTPの普及が急速に進んでいます。
ワンタイムパスワードと多要素認証(MFA)の関係
多要素認証(MFA:Multi-Factor Authentication)とは異なる種類の認証要素を2つ以上組み合わせて本人確認を行う仕組みです。認証要素は知識情報(パスワード・PINコード)・所持情報(スマートフォン・トークン)・生体情報(指紋・顔・虹彩)の3種類があり、ワンタイムパスワードは「所持情報(スマートフォンやトークンを所持している)」の認証要素に該当します。
通常のパスワード(知識情報)にOTP(所持情報)を加えることで2要素認証が実現できます。同じ種類の要素を2段階で使う「二段階認証」よりも、異なる種類の要素を組み合わせる「二要素認証」の方がセキュリティレベルは高くなります。OTPはこの多要素認証を手軽に実現するための代表的な手段です。
ワンタイムパスワードの仕組み

OTPの生成方式は主に3種類あります。
チャレンジレスポンス方式
認証サーバーがランダムな文字列(チャレンジ)をユーザーに送信し、ユーザーが決められた計算式でパスワード(レスポンス)を計算して返送します。サーバーが自身で計算した値と照合して一致すれば認証成功です。高セキュリティですが操作が複雑なため主に企業・金融システムで使用されます。
タイムスタンプ方式(時刻同期方式)
現在の時刻をもとにパスワードを生成する方式で、現在最も広く使われています。トークンや認証アプリが秘密鍵と時刻情報をもとに決められたアルゴリズムでパスワードを自動生成し、認証サーバーも同じ計算を行って照合します。パスワードは30秒ごとに自動更新されます。Google AuthenticatorやMicrosoft Authenticatorなどのアプリで採用されており、金融機関のスマホアプリにも広く使われています。
カウンタ同期方式
パスワードの発行回数(カウンタ)をもとに生成する方式です。ユーザーがトークンのボタンを押すたびにカウンタが1増加し、そのカウンタ値と秘密鍵をもとにパスワードが生成されます。時刻情報を使わないため時刻のズレによる認証失敗が起きないことが特徴で、オフライン環境にも向いています。
| 比較項目 | チャレンジレスポンス | タイムスタンプ | カウンタ同期 |
|---|---|---|---|
| 生成のもと | サーバーからの文字列 | 現在の時刻 | 発行回数 |
| 自動更新 | なし | あり(30秒ごと) | なし |
| 主な用途 | 金融・企業システム | 一般サービス(主流) | オフライン環境 |
ワンタイムパスワードの受け取り方4種類
トークン(専用端末)
OTPを生成・表示する小型の専用端末です。キーホルダー型やカード型があり、ボタンを押すと液晶画面にパスワードが表示されます。インターネット接続不要でマルウェアの影響を受けにくい点が強みです。主に金融機関で採用されていますが、電池切れや紛失時は金融機関への連絡と再発行が必要です。
スマホアプリ
Google AuthenticatorやMicrosoft AuthenticatorなどのアプリをインストールしてOTPを生成します。専用端末を持ち運ぶ必要がなく多くの場合無料で利用できるため、現在最も主流の受け取り方です。機種変更時は旧端末でOTPの解除または移行手続きを事前に行う必要があります。
メール・SMS
登録したメールアドレスや電話番号にOTPを送信します。専用機器やアプリが不要で導入ハードルが低い点がメリットです。フリーメールアドレスよりもプロバイダやキャリアのメールアドレスの使用が推奨されます。
電話音声:登録した電話番号に自動音声でOTPを通知します。テキストとして残らないため情報流出リスクが低いですが、通話環境が悪い場所では使いにくい場合があります。
| 比較項目 | トークン | スマホアプリ | メール・SMS | 電話音声 |
|---|---|---|---|---|
| セキュリティ | 高 | 高 | 中 | 中 |
| 利便性 | 中 | 高 | 高 | 低〜中 |
| オフライン利用 | 可 | 可 | 不可 | 不可 |
ワンタイムパスワードが届かない場合の対処法

SMSが届かない場合
電波状況の悪さ・迷惑メール設定によるブロック・登録電話番号が古い・キャリアのSMS受信設定の問題などが主な原因です。まず電波の良い場所に移動する・SMS受信設定を確認して特定番号からのSMSをブロックしていないか確認する・登録電話番号が最新かどうか確認するという順に試してください。数分待っても届かない場合はメールや電話音声など別の受け取り方に切り替えることも検討しましょう。
メールが届かない場合
迷惑メールフォルダへの振り分け・フィルタによるブロック・登録メールアドレスの変更・メールボックスの容量超過などが主な原因です。まず迷惑メールフォルダを確認し・フィルタ設定を見直し・登録メールアドレスが現在使用中のものと一致しているか確認しましょう。フリーメールアドレス(GmailやYahooなど)を使用している場合は迷惑メールフォルダに自動分類されやすいため特に注意が必要です。
トークン・アプリで表示されない場合
端末の時刻ズレ(タイムスタンプ方式の場合)・アプリの不具合・古いバージョンなどが主な原因です。端末の時刻設定を「自動」に変更する・アプリを再起動または再インストールする・アプリを最新バージョンにアップデートするという対処を順に試してください。それでも解決しない場合はサービスのサポートに問い合わせましょう。
機種変更後に使えなくなった場合
機種変更前に移行手続きを行わないと新しい端末で使えなくなることがあります。旧端末でOTPの解除または削除を行い、新端末でワンタイムパスワードを有効化してください。電話番号も同時に変更した場合はオンラインで対応できないことがあるため、サービスのサポートに問い合わせましょう。
ワンタイムパスワードの活用例
金融機関・インターネットバンキング
インターネットバンキングでの振込・送金・残高照会などの重要な操作時にOTPが広く採用されています。固定パスワードだけでは防げない不正送金対策として多くの金融機関がOTP認証の導入を義務化・推奨しています。かつては専用トークンが主流でしたが、近年はスマホアプリによる認証が中心となっています。ログイン時だけでなく振込の最終確認時など金銭が動く重要な操作ごとにOTPを求めるサービスも増えています。
リモートワーク・SNS・クラウドサービス
社外から社内ネットワークにVPN接続する際にIDとパスワードにOTPを組み合わせる企業が増えており、リモートワーク環境のセキュリティ強化に役立っています。またGoogle・Microsoft・Twitter(X)などの主要サービスでもアカウントの乗っ取り防止としてOTPを使った二段階認証が広く採用されています。2018年のコインチェック580億円流出事件を契機に仮想通貨取引所でもOTP認証の導入が急速に進みました。
ワンタイムパスワードのメリット・デメリット
メリット
不正アクセスを強力に防ぐ:パスワードが盗まれても有効期限内に使用されなければ無効になります。パスワードリスト型攻撃にも有効で、複数のサービスで同じパスワードを使い回すリスクも排除できます。
パスワード管理の負担軽減:OTPは自動生成されるため複雑なパスワードを記憶したり定期変更したりする手間が不要です。管理する従業員が多い企業でも管理コストを下げられます。
サービスの信頼性向上:特に金融機関やECサイトなど機密情報を扱うサービスにとって、OTP導入はユーザーへの安心感を提供しブランドの信頼性向上につながります。
デメリット・注意点
ログインに手間がかかる:ID・パスワードに加えてOTPの確認・入力という手順が増えます。
端末がないと認証できない:スマートフォンやトークンの紛失・故障時にログインできなくなるリスクがあります。代替手段を事前に確認しておきましょう。
通信状況に依存する:SMSやメールで受け取る場合、電波状況や通信障害の影響を受けます。
ワンタイムパスワードで防げない攻撃と対策
リアルタイムフィッシング詐欺
攻撃者が金融機関などを装った偽サイトにユーザーを誘導し、入力されたIDとパスワード・OTPをリアルタイムで窃取して本物のサービスに不正ログインする攻撃です。ユーザーが偽サイトにOTPを入力すると即座に攻撃者が本物のサービスへの認証に使用するため、OTPの有効期限(30秒程度)内に悪用されてしまいます。OTPだけでは防げません。
MITB攻撃(Man-in-the-Browser)
マルウェアがブラウザに潜伏し、ネットバンキングにログイン後に送金先口座番号や金額をユーザーに気づかれないまま改ざんする攻撃です。OTP認証でログインできても、その後の操作がマルウェアによって書き換えられるため、OTKだけでは防ぐことが困難です。
これらへの対策としてトランザクション署名があります。振込先口座番号や金額などの取引情報そのものをOTP生成の計算に組み込む仕組みで、マルウェアによって取引情報が改ざんされても元の正しい情報で生成されたOTPとサーバー側の計算が一致しないため不正取引をブロックできます。またセキュリティソフトの導入・OSとブラウザの定期アップデート・フィッシング対策教育(不審なリンクをクリックしない習慣)などをOTPと組み合わせることが重要です。
よくある質問(FAQ)
ワンタイムパスワードがあれば安全?
IDとパスワードのみより大幅に安全ですが、100%安全とは言い切れません。リアルタイムフィッシングやMITB攻撃など防げない攻撃も存在します。OTPはセキュリティ対策の一つとして位置付け、生体認証やセキュリティソフトと組み合わせましょう。
ワンタイムパスワードを忘れた場合は?
問題ありません。OTPは30〜60秒ごとに自動更新されます。新しく表示されたパスワードを入力すれば認証できます。
トークンを紛失した場合は?
すぐに発行元の金融機関に連絡してトークンを無効化してください。放置するとリスクが高まります。無効化後に新しいトークンの再発行を依頼しましょう。
まとめ
ワンタイムパスワード(OTP)とは一度しか使えない使い捨てのパスワードで、金融機関・SNS・クラウドサービスなど幅広い場面で採用されています。生成方式はチャレンジレスポンス・タイムスタンプ(主流)・カウンタ同期の3種類、受け取り方はトークン・スマホアプリ・メール・SMS・電話音声の4種類です。
届かない場合はSMSの電波・迷惑メール設定・端末の時刻・機種変更の移行漏れなどが主な原因です。リアルタイムフィッシングやMITB攻撃など防げない脅威も存在するため、多要素認証やセキュリティソフトとの組み合わせが重要です。

























![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)


