世の中便利になれば、よからぬことを考える輩がいるものです。ネットの世界においても悪さをしようとする第三者は存在します。

そういう悪意ある第三者から身を守るのがセキュリティ。

その一つとしてワンタイムパスワードがあります。

今回はワンタイムパスワードに関するお話と、個人でできるセキュリティ対策を紹介します。

セキュリティ関連の記事はほかにもありますので、まだご覧になっていない方は参考にしてみてください。

目次

---

1. ワンタイムパスワードとは
   1-1.ワンタイムパスワードの仕組み
2. ワンタイムパスワードが狙われる？
3. 身を守るためにできること
   3-1.セキュリティの強化
   3-2.情報漏洩に対する対策
4. まとめ

ワンタイムパスワードとは、1回だけ使えるパスワードです。使い捨てのパスワードをイメージするとわかりやすいかもしれません。

例えば、

ログイン→メールなどで数字が届く→それを入力でログイン完了

といったイメージです。

しかも時限式なので、時間経過で別のパスワードが発行され、古いパスワードは使用できなくなります。

他にも第三者による不正アクセスや不正ログインの防止を目的として、送金をはじめとした重要な操作などに利用され、普及していっています。

1-1.ワンタイムパスワードの仕組み

◆チャレンジレスポンス方式

サーバ側がチャレンジと呼ばれる文字列を出すので、それに対して答え(レスポンス)を返す方式です。

簡単に言うと、

ログインしたい→問題が出る→答えを返す→サーバ側が答え合わせ→正解ならログイン

こんなイメージです。

映画やドラマで、仲間かどうか確認するために「合言葉を言え」と伝えるシーンを思い浮かべてください。その合言葉がワンタイムパスワードに該当しますが、合言葉を毎回変えることでセキュリティを高めています。

◆タイムスタンプ方式

認証時の時刻をもとにワンタイムパスワードを生成する方式です。

ワンタイムパスワードを生成する端末はトークンと呼ばれます。

ログインしたい→トークンでワンタイムパスワード生成→表示されたワンタイムパスワード入力→サーバが照合→正しければログイン

ちなみにトークンはボタンを押すだけで簡単にパスワードを生成してくれます。

◆カウンタ同期方式

発行回数をもとにワンタイムパスワードを生成する方式です。タイムスタンプ方式と同じような仕組みですが、参照するデータが時刻ではなく発行した回数になる点が異なります。

◆マトリクス認証方式

マトリクス表にランダムで並んだ数字を利用する方式です。

マトリクス表に並んだ数字や文字列の位置情報を複数パターン化し、そのパターンをパスワードとして利用する方法になります。

認証するときには、新たなマトリクス表の中でそのパターン通りの数字や文字列を選択し一致した場合に成功となります。

その安全性の高さからネットバンキングなどでよく利用されているようです。

仮にIDやパスワードが流出しても、ワンタイムパスワードがなければアクセスができないことが、ワンタイムパスワードのメリットです。通常のパスワードのほかに別の情報が必要となる仕組みを多要素認証などと言いますが、ワンタイムパスワードもその一つ。

しかし、最近ではこの多要素認証を破るための手口も出てきているようです。

闇サイトでは、狙った相手のワンタイムパスワードを傍受できるサービスが、詐欺グループ向けに展開されているという情報もあります。

実際に起きた暗号資産盗難の事件では、暗号資産を盗み出す前にパスワードをはじめとしたアカウント情報を、フィッシング詐欺などの手口によって入手していたとも言われています。

不正ログインやネット詐欺など、我々が悪意のある第三者の攻撃から身を守るためにはなにができるのでしょうか。

3-1.セキュリティの強化

①ウイルスソフトの導入
既存のウイルスに対して有効な手段になります。新たに発見されたウイルスに関しても、ウイルスソフトのアップデートで防げるようになっていきます。

②最新バージョンを使用する
ソフトウェアやネット上のサービスは、脆弱性が問題になることがあります。要するに弱点や欠陥ですね。

基本的にソフトウェアやサービスを提供しているメーカー側は、見つかった脆弱性にして修正プログラムを提供しているので、常に最新バージョンにしておくことが大切です。

3-2.情報漏洩に対する対策

①パスワードを使いまわさない
便利なサービスがたくさんあるので、多くのサービスに登録したり加入したりするケースは多いと思います。その際には同じパスワードを設定しないように注意してください。
一つのサービスから流出した情報をもとに、ほかのサービスへ不正ログインしようとする手口もあります。できる限りサービスごとに異なるパスワードの設定が望ましいです。

また、これまでは定期的なパスワードの変更が推奨されていましたが、総務省は定期的なパスワードの変更は不要と示しています。

変更よりも、変更の手間によってパスワードがパターン化し単純になること、使いまわしになることのほうを問題視しているようです。

参照：総務省　ホーム ＞ 企業・組織の対策 ＞ 社員・職員全般の情報セキュリティ対策 ＞ 安全なパスワード管理
URL：https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

②怪しいサイトやメールを開かない
危険とされるサイトでは、フィッシング詐欺やワンクリック詐欺などの被害があり、ウイルスが仕込まれている可能性もります。

いろいろなパターンがあるので、一概には言えませんが「別のサイトに飛ばされる」「文字化けしている」「警告が出る」などのサイトには注意が必要です。
メールにしても、知らないアドレスの添付をむやみに開くとウイルスに感染する可能性もあります。URLが書いてあってもむやみにクリックすると、怪しいサイトに飛ばされるかもしれません。

もし心当たりがないアドレスからメールが届いて、怪しいと感じた場合はそのまま削除するのが賢明と言えます。

③フリーWi-Fiに繋げる際には注意
飲食店などの公共の場で利用できるフリーWi-Fiが増えてきていますが、第三者に通信を盗聴されたりのぞき見されたりする可能性があります。

便利なものには違いないので、仕事などでどうしても利用したい場合には、暗号化されているか、SLL化しているか、VPNを設定する、自動接続はしないといった対策の上で接続するのが望ましいです。

VPN…特定の人だけが利用可能な仮想回線のこと。
VPNについての記事をまだ見ていない方はこちら

VPNをAndroidで設定する方法｜IPSec、PPTP、L2TPなど
【iPhoneでも設定できる】VPNとは？そのメリット・デメリット

ワンタイムパスワードとは、1回限りの使い捨てパスワードのことです。

通常のパスワードとは別にパスワードが必要になるので、セキュリティ強化に役立ちます。

以下のような種類があり、ワンタイムパスワードを発行する端末はトークンと呼ばれます。

◆チャレンジレスポンス方式
◆タイムスタンプ方式
◆カウンタ同期方式
◆マトリクス認証方式

しかし最近では、ワンタイムパスワードをくぐり抜ける手口も展開されている情報もあり、各々で身を守るための対策が必要です。

最新バージョンの利用やウイルスソフトの導入とったセキュリティの強化や、パスワードの使いましをしない、怪しいサイトやメールを開かない、フリーWi-Fiには注意するといった情報漏洩の対策をするように心がけてください。

ウイルスソフトをはじめとして、セキュリティに関しては破ろうとする者と守ろうとする者のイタチごっこと揶揄されることもあります。

我々としてはがんばれ守るもの！といった感じなのですが、個人でできることもたくさんあります。

まずは知ることが必要です。今回の記事で対策をいくつか紹介しましたので、今後被害にあわないように、知ったこと分かったことを役立てていってください。

ライター：彦坂

愛知 県内から 名古屋 を中心にホームページ制作を行っている会社
株式会社 WWG（ダブルダブルジー）
愛知県 名古屋市中村区名駅5-16-17　花車ビル南館5F

TEL： 052-890-7007（2021-12/16～変更）
※ ホームページ制作や活用サポートのお問い合わせはコチラから