ワンタイムパスワードを使うとセキュリティが大幅に向上するらしいと見聞きするものの、実際に使うとなると分からないことが多いとお感じではありませんか?
特にネットバンキングサービスを利用されている場合、そこから振込をするにはワンタイムパスワードの入力がほぼ必須となりました。煩わしい、よく分からないということでワンタイムパスワードを使わないのはセキュリティ上とてももったいないことで、危険を放置していることでもあるので、この機会にぜひ利用を検討してください。
特に近年ではリモートワークの普及に伴って社内システムを利用する際にもワンタイムパスワードを導入する動きも広がっており、これまでは無関係でいられた方であっても今後は何らかの形でワンタイムパスワードとの関わりが増えてくる可能性大です。
すでにワンタイムパスワードをお使いの方にとっても、「こういう時はどうすれば良いのだろう?」というありがちな疑問に対する答えもまとめました。
1.大切な預金を守るワンタイムパスワード
1-1.ワンタイムパスワードとは?
ワンタイムパスワードを直訳すると「一度きりのパスワード」です。一定時間ごとに発行され、文字通り一度きりしか使えないパスワード、およびそれを採用した認証の仕組みのことです。
各種サービスへのログインだけでなく、口座からの送金など慎重さが求められる操作する際に、第三者によるアクセスを防ぐ手法として主に金融機関などで普及が進んでいます。
1-2.ワンタイムパスワードの仕組み
ワンタイムパスワードには大きく分けて2種類の仕組みがあります。いずれもセキュリティ性を高めるために考案された手法です。
1-2-1.タイムスタンプ認証方式
認証をする際の時刻をもとにワンタイムパスワードを生成する方式です。パスワードについてはトークンと呼ばれる専用端末やスマホアプリなどを用いて生成されたものが表示され、ユーザーはそれを利用します。この方式で使用される専用トークンやスマホアプリについては、次項でご紹介します。
1-2-2.チャレンジ/レスポンス認証方式
ログインを要求しているサーバーが「チャレンジ」と呼ばれる文字列を返してくるので、その文字列に対してあらかじめ設定された計算式によって求められた結果を返し、サーバー側でも計算をした結果と一致すれば認証クリアとなる方式です。
1-3.ワンタイムパスワードが不正ログインを防げる理由
ワンタイムパスワードは一度きりしか使用できません。仮にワンタイムパスワードを窃取されたとしても、すでに使ったワンタイムパスワードを再度使うことはできないので安全性が向上します。
それに加えて、有効期間がとても短いのも特徴です。30秒程度の有効期間しかないものが一般的なので、不正を目論む者にパスワードを破る時間的な余裕を与えないことも有効な対策となっています。
1-4.ワンタイムパスワードを発行する主な方法
1-4-1.専用トークン
小さな画面にワンタイムパスワードが表示される専用のデバイスです。写真はジャパンネット銀行が口座開設者に提供しているトークンです。口座から送金をする時などにワンタイムパスワードの入力を求められるので、その時に表示されている6桁の数字(ワンタイムパスワード)を入力すると手続きが完了します。
1-4-2.スマホアプリ
iPhoneやAndroidのスマホ用のアプリを配布、そのアプリが前項のトークンのようにワンタイムパスワードを生成するという仕組みを採用しているサービスもあります。写真は三菱東京UFJ銀行が配布しているアプリです。メニューの中に「ワンタイムパスワードを表示する」という項目があるのがお分かりいただけると思います。
このようにアプリを使ったワンタイムパスワードの生成、利用方法は「2.ワンタイムパスワードの一般的な使い方」で詳しく解説します。
1-5.金融機関以外にも利用が広がるワンタイムパスワード
ワンタイムパスワードの普及が進んでいるのは主に金融機関ですが、それ以外にも採用するする動きが広がっています。オンラインゲームやポータルサイトなど、上記のトークンもしくはスマホアプリ、もしくはメールを送信して返信メールにワンタイムパスワードが記載されている方式など、方法は異なるもののワンタイムパスワードの利用は確実に広がっています。
【参考】ワンタイムパスワードを採用しているサービス
NEXON(ゲームサイト)
スクウェア・エニックス(ゲームサイト)
ガンホー(ゲームサイト)
Yahoo!JAPAN(ポータルサイト)
1-6.仮想通貨(暗号資産)でも重要性が増すワンタイムパスワード
ネット上での決済などに利用できる仮想通貨(暗号資産)の普及が進んでいますが、すでに個人の口座から仮想通貨が不正に送金されるという事件が発生しています。こうしたリスクを踏まえて、仮想通貨を管理する口座でもワンタイムパスワードの利用が広がりを見せています。
仮想通貨取引所の「Coincheck」では不正ログインによって発生した損失補償制度を設けています(*)が、二段階認証の設定が補償の条件となっています。これは裏を返すと「二段階認証を設定していたら被害が発生する可能性は限りなく低い」と考えているわけで、それだけワンタイムパスワードなど二段階認証のセキュリティ性能が高いと認識されていることがうかがえます。
(*) サービスは2019年11月の時点で提供開始されておらず、開始の際はお知らせがあるようです。
1-7.リモートワークでもワンタイムパスワードが普及している
リモートワークの普及により、自宅や遠隔地から社内システムにアクセスする場面が増えています。この認証の際にもワンタイムパスワードなど多要素認証を導入するケースが多く見られます。
多要素認証にはワンタイムパスワード以外にもクラウド型の認証サービスが提供されており、ワンタイムパスワード以外にモバイル端末を利用した認証方式「モバイルプッシュ認証」や過去にアクセスを許可されているデバイスであるかを判定する「デバイス認証」、過去の行動履歴やアクセス情報をもとに認証の可否を判定する「リスクベース認証」などが提供されています。
2.ワンタイムパスワードを使うべき3つの理由
ここまでワンタイムパスワードが普及していることには、もちろん理由があります。なぜワンタイムパスワードを利用するべきなのでしょうか、セキュリティの観点から知っておいていただきたい3つの理由について解説します。
2-1.通常のパスワードは盗まれたらそれで終わり
通常のパスワードはそれが対となるログインIDと共に知られてしまったら誰でもログインされてしまいます。ワンタイムパスワードはその状況に対し、さらにもう一枚の防御壁を設けることができます。単純に考えても防御壁が1枚から2枚になります。
そして、ワンタイムパスワードの大きな違いは、いつも同じパスワードではないということです。
通常のパスワードは万が一盗まれてしまうと不正ログインの危険に晒される時間が長くなり、その分だけリスクも増大します。ワンタイムパスワードは数十秒と有効時間がとても短いため、少なくとも危険に晒される時間を大幅に短くできる効果があります。
しかしながら攻撃者もワンタイムパスワードの有効時間がとても短いことを認識しているので、盗まれても大丈夫であるという認識は危険が伴います。実際、ユーザーが誤って偽サイトに入力したワンタイムパスワードが悪用されたという被害例もあります。
したがって、ワンタイムパスワードだからといっても第三者に知られないようにする意識は必要です。
2-2.パスワードが盗まれると他のサービスにも危険が及ぶ
通常のパスワードの場合、それを使いまわしていると1つのサービスでパスワードが盗まれた場合に他のサービスにまで不正ログインの危険が及びます。ワンタイムパスワードであればパスワードを使いまわすことはないので、安全性が高くなります。
2-3.ワンタイムパスワード でなければ利用できないサービスが増えている
ワンタイムパスワードは、近年常識になりつつある二要素認証の一種です。セキュリティ性を高めるために二要素認証の重要性は高まっており、今後はワンタイムパスワードを含む二要素認証でなければ利用できないサービスが増えていくことでしょう。利用しているサービスがワンタイムパスワードを採用している場合、その方法を知っておかなければ利用できなくなる恐れがあります。
3.ワンタイムパスワードの一般的な使い方
3-1.トークンを使った方法
金融機関から配布されたトークンを使って送金処理をする手順を、ジャパンネット銀行のオンライン口座で解説します。
オンライン口座にログインをして、振込処理の画面に進みます。
必要事項を入力して次に進むと、ここでワンタイムパスワードの入力を求められます。この時にトークンに表示されている6桁の数字を入力すると振込処理が実行されます。
仮に不正ログインに成功したとしても、トークンを持っていなければこの先に進めないようになっています。
3-2.スマホアプリを使った方法
金融機関が配布しているスマホアプリを使ってワンタイムパスワードを生成、それを使って送金処理をする手順を、三菱東京UFJ銀行のネットバンキングで解説します。
ネットバンキングの管理画面にログインして、振込・振替の画面に進みます。そこで振込先や振込金額を入力、「次へ」のボタンから確認画面に進みます。
ここで「ワンタイムパスワード入力へ」というボタンが表示されるので、このボタンから次に進みます。
次の画面でワンタイムパスワードの入力を求められるので、スマホアプリでワンタイムパスワードを生成します。以下のようにワンタイムパスワードが表示されます。
有効期間内に振込画面の入力欄に入力、最後に振込実行のボタンから処理を完了します。
3-3.メール、SMSを使った方法
ログインをする際にあらかじめ登録してあるメールアドレスや電話番号にメールもしくはSMSを送信し、そこに記載されている認証コードを入力することによって認証をする方式です。
こちらはメッセージアプリ「LINE」の認証コードが送られてきたSMSです。パソコン版のLINEに新規ログインをしようとするとこの認証コードの入力が求められるので、スマホに届いたこのコードを入力することで認証クリアとなります。
3-4.電話を使った方法
前項で解説した方法を電話による音声で行う方式です。登録している電話番号に電話を発信し、ユーザーが電話に出ると音声で認証コードが通知されるので、それを入力して合致していれば認証クリアとなります。
4.ワンタイムパスワードのよくある疑問と解決策
4-1.ワンタイムパスワードを忘れた
ワンタイムパスワード自体、おおむね数十秒程度の有効期間が終わると無効になるため、パスワードを忘れても問題はありません。送金処理をしている最中に表示されていたワンタイムパスワードが次のものに変わってしまい、忘れたという場合は次に生成された新しいワンタイムパスワードを使用すれば送金処理を続けることができます。
4-2.トークンの電池が切れた/電池切れが心配だ
トークンでワンタイムパスワードを生成する仕組みになっているサービスの場合、気になるのがトークンの電池切れです。原則として自分で電池を交換できないようになっているので、電池が切れたらトークンは使用期間終了となります。電池が切れる前に発行元から次のトークンが届く場合が大半なので、電池切れを心配する必要はありません。
一定期間ごとにトークンを届けることで、発行元としては定期的な口座保有者の住所確認を兼ねている部分もあります。
4-3.トークンを紛失した
トークンを紛失したり、盗難に遭ってしまった場合に最も心配になるのが「トークンが悪意のある者の手に渡ってしまうと勝手に送金されてしまう」というリスクです。万が一トークンだけを盗まれたとしても、その者は口座番号やパスワードを知り得ません。これが二要素認証の有効性で、「口座番号+パスワード」だけがあっても、逆に「トークンだけ」があっても今すぐ勝手に送金をすることはできません。
しかし、だからと言ってそのまま放置しているわけにはいきません。ジャパンネット銀行の場合、トークンを紛失した際の手続きは以下の流れになります。
1.トークンの取引を停止して第三者による不正使用を防止する
口座管理画面にログインし、「各種手続き(登録・変更)」のタブから「取引停止・再開(ロック・解除)」を選択します。
キャッシュカードとトークンの取引停止・再開の操作画面に遷移するので、そこでトークンの欄にスクロール、「取引停止」を選択します。
確認のメッセージが表示されるので、そこでOKをクリックすると紛失したトークンは使用不能になります。
2.トークンの再発行手続きをする
口座管理画面の「各種手続き(登録・変更)」から「キャッシュカード・トークン再発行」を選択します。
再発行の理由を選択して、「次へ」をクリックすると、トークンの届け先住所が表示されるのでそれに間違いがないことを確認して、暗証番号を入力して申し込み完了です。
4-4.ワンタイムパスワードを発行しているスマホを機種変更したい
ワンタイムパスワードをスマホアプリで生成する方式を利用している場合、そのスマホを機種変更する場合は大きく以下のような流れになります。
旧スマホの登録を解除する
新スマホにアプリをインストール
新スマホを利用登録する
その方法については金融機関によってさまざまなので、大手メガバンクについては以下の情報を参考にしてください。
三菱東京UFJ銀行
三井住友銀行
みずほ銀行
りそな銀行
それ以外の金融機関であっても「(金融機関名)+ワンタイムパスワード+機種変更」というキーワードで検索すると方法を解説するページが見つかると思います。
4-5.旧スマホで解除する前にスマホを機種変更してしまった
スマホアプリでワンタイムパスワードを利用していて、機種変更をした後でスマホの利用解除をしてから移行手続きをしなければならないことに気づくこともあります。
オンラインの口座管理画面でスマホの利用解除ができる場合はそこから利用解除をして新スマホにアプリをインストール、それを利用登録すれば手続き完了です。
この流れで手続きができない場合はそれぞれの金融機関によって対応が異なるので、各金融機関に問い合わせをしてみてください。
5.ワンタイムパスワードがあれば安全なのか?
ワンタイムパスワードの安全性はここまでの説明でご理解いただけたことと思います。しかし、ワンタイムパスワードさえあれば完全に安全なのでしょうか?
残念ながら100%安全とは言えません。実際に、ワンタイムパスワードを使用したユーザーであっても被害に遭っている実例があります。
ただ、その被害者はマルウェアに感染していたとされています。マルウェアにはオンラインバンキングの振込先を利用者が気付かないうちに勝手に変更するものもあります。
実際、ワンタイムパスワードによって安全性は格段に向上します。しかし、普段からOSやアプリのアップデートを行う、セキュリティソフトをインストールすることで基本的なセキュリティが確保されていなければ意味がありません。
Windows PC や Macを使用して銀行口座にログインをする前に、無料体験版でも良いので有名な有料のセキュリティソフトを入れてチェックしてみましょう。
なぜ有料版なのでしょうか?Windows Defenderをはじめとする無料のセキュリティソフトは最低限の機能しか搭載されていないものもあり、状況によっては有料のものでしか駆除できないものがある可能性があるからです。
実際、仮に駆除できなかったとしても、(ウイルスバスター以外は)それぞれ最適化されたファイアウォールを搭載しており、Windowsの内部から外部に向けての通信を監視しているため、無料ソフトと比べて大切な情報が盗まれる可能性は低いと言えます。(ウイルスバスターはWindows標準のファイアウォールをチューンすることでほぼ同様の機能を実現しています)
以下が無料体験版を用意している代表的なセキュリティソフト一覧です。これらの有料版セキュリティソフトは期限内であればどの製品も有料版と同様の機能が無料で使用できます。体験版使用にクレジットカード番号などは不要です。(ノートン以外の製品に関してはそれぞれの会社の手順に従ってください)
6.まとめ
二要素認証の一種であるワンタイムパスワードは、金融機関など最も高度なセキュリティが求められるサービスを中心に普及が進んでいます。こうしたサービスで採用されているのは、それだけセキュリティ上の効果があると見込まれているからです。
お使いのサービスでワンタイムパスワードが利用できる場合は、預金や個人情報などをしっかりと守るために、この記事がワンタイムパスワードを利用する契機となれば幸いです。