1度だけ有効なワンタイムパスワード。セキュリティ対策としてネット銀行などでも多く採用されていますが、利用にはデメリットもあります。この記事では、ワンタイムパスワードのデメリットについて解説した後、デメリットに対応するための運用方法を紹介します。
ワンタイムパスワードのデメリット2点
ワンタイムパスワードのデメリットは、主に安全性と利便性の2点に集約されます。ワンタイムパスワードの安全性におけるデメリットと、利便性についての問題点について確認しましょう。
1、ワンタイムパスワードだけで安全とは限らない
ワンタイムパスワードを使っていれば100%安全でしょうか。ワンタイムパスワード自体は、第三者から盗み見られても、その時限り有効なので悪用される心配はありません。しかし、以下のような状況によっては、必ずしも安全とは言い切れない点もあります。
- パソコンやスマートフォンの乗っ取り
- メールなどでワンタイムパスワードを送付する危険性
- フィッシングサイトには弱い
・パソコンやスマートフォンの乗っ取り
MITB(Man-In-The-Browser)攻撃というサイバー攻撃は、パソコンやスマートフォンにマルウェアを仕込み、通信内容の監視や改ざんなどを行います。
例えば、ユーザーが自分の口座から特定の口座に送金する場合を考えましょう。ユーザーは、ワンタイムパスワードを生成するトークン(ハードウェア)を使って生成されたパスワードを入力します。
潜伏しているマルウェアは、ユーザーがオンラインサービスにログインしたことを検知。振込先の口座情報や金額などの情報をユーザーの見えないところで書き換え、オンラインサービスを欺いて別の口座に送金させます。
ワンタイムパスワードの扱い自体には問題がなくても、ログイン突破後に不正アクセスされてしまうとどうしようもありません。
・メールなどでワンタイムパスワードを送付する危険性
MITB攻撃よりもシンプルなサイバー攻撃のひとつに、中間者攻撃があります。パソコンやスマートフォンにコンピューターウイルスを感染させて乗っ取り、ユーザーとオンラインサービスとの通信の間に入り込み、情報を盗み取る攻撃手法です。
メールやSMSでワンタイムパスワードを送信する場合、この攻撃によってワンタイムパスワードを盗まれ、本来の利用者よりも早く使われる危険性があります。
・フィッシングサイトには弱い
ワンタイムパスワードを使ってログインする際に表示されるサイトが、フィッシングサイトであるという危険性もあります。DreamBotのようなフィッシングサイトに誘導するコンピューターウイルスは、入力された認証情報を盗み出して悪用します。ワンタイムパスワードだけではフィッシングサイトの被害を防げません。
2、ユーザー側の利便性が悪くなる
ワンタイムパスワードは、毎回生成されるパスワードをユーザーが確認して手入力する手間があり、ユーザー側の利便性が悪くなります。入力ミスをする可能性もあり、面倒に感じる人もいるでしょう。
また、認証デバイスを別途所持すると管理の手間もかかります。紛失リスクや電池切れの対応など、ユーザー側も気を遣わなければなりません。
ワンタイムパスワードの安全性を高める4つの運用方法
ワンタイムパスワードのデメリットとして説明した安全性の問題に対応するための運用方法を4つ挙げます。対策方法は、利用者が行うべき対策(ウイルス感染の予防)と企業側が行うべき対策(トランザクション署名など)があります。
企業側の対策は必要に応じ組み合わせて運用し、利用者側にもウイルス感染の予防を呼びかけてセキュリティを高めましょう。
1、ウイルス感染の予防
パソコンやスマートフォンへのコンピューターウイルス感染予防は、利用者側が忘れず行っておきたい基本のセキュリティ対策です。ワンタイムパスワードを使っているのに不正アクセスなどの被害に遭ってしまった場合、ほとんどはコンピューターウイルスの感染が原因となっています。
アンチウイルスソフトのインストールと、OSやアプリケーションの更新による脆弱性への対策は必須です。ワンタイムパスワードを受け取るメールアドレスは、Webメールよりも携帯キャリアのメールアドレスのほうが安全性は高くなります。
また、振込連絡やログイン通知などのメール通知は、身に覚えのないアクティビティでないかどうか必ず確認しましょう。
2、トランザクション署名
ワンタイムパスワードによる承認を取り入れている企業側で行える対策として、トランザクション署名の導入があります。トランザクション署名とは、ユーザーが画面上で入力した振込口座番号などのデータをベースとしたデジタル署名を署名データ生成器などで別途作成し、入力内容とともに送信するセキュリティ対策です。
トランザクション署名を導入すると、通信の途中で振込内容の改ざんが行われていても、正しいデジタル署名がないと処理は続行されません。MITB攻撃のような、主に通信内容を改ざんする攻撃に有効な対策です。
3、スマート認証
スマート認証とは、あらかじめ連絡を受けるスマートフォンなどを登録しておくセキュリティ対策です。パソコンでネットバンキングの操作やあるサイトのログイン操作を行うと、認証内容や銀行の振込内容などの確認を登録済みの端末に送信。認証を要求して、正しいアクセスかどうかを判別します。
4、多要素認証の適用
認証情報には、知識要素・所持要素・生体要素の3要素があり、3要素を2つ以上組み合わせて認証することを「多要素認証」と呼びます。多要素認証を適用することで、セキュリティを高めることが可能です。
知識要素は、その人が知識として持っている情報です。ID・パスワードなどの認証情報や秘密の質問などは、知識要素に当てはまります。
生体要素は、指紋認証や顔認証など生体に関する情報です。所持要素は、その人が所持していることを示す要素で、トークンから生成するワンタイムパスワードは所持要素に当てはまります。
ワンタイムパスワードの利便性をフォローする2つの運用方法
ワンタイムパスワードの利便性をフォローする運用方法として、2つの方法を紹介します。
1、メールやSMSからの自動引用
メールやSMSで送信されたワンタイムパスワードを利用するメールパスワードシステムの場合、受け取ったパスワードの手入力に手間がかかります。メールやSMSからの自動引用は、二段階認証で認証コードを送信する際に見られる仕組みです。
自動引用によって受け取ったワンタイムパスワードを自動で認証画面に取り込むことで、手入力の不便さを解消できます。
2、認証デバイスを所持しない方式の採用
ソフトウェアトークンやマトリクス認証方式を採用することで、認証デバイスを所持する煩わしさは回避できます。
ソフトウェアトークンは、パソコンやスマートフォンにワンタイムパスワード生成アプリをインストールする方式で、一部のネットバンキングでも採用されています。マトリクス認証は、乱数(マトリクス)表から利用者が好きな形を選んでワンタイムパスワードを生成する方式です。
どちらの方式も、ハードウェアの認証デバイスを持たなくても手軽にワンタイムパスワードを生成できます。
ワンタイムパスワードサービスを選ぶポイント2つ
ワンタイムパスワードサービスを新たに導入する際は、サービスの提供する機能そのものと、自社の認証システムとの相性を確認して選びましょう。この2点についてもう少し詳しく解説します。
1、利便性の高さとセキュリティの高さのバランスをとる
ワンタイムパスワードを利用する際の利便性とセキュリティの高さは、相反する場合もあります。セキュリティの高さを求めすぎるあまり、利便性が悪くなると仕事の効率が悪くなるかもしれません。
ワンタイムパスワードサービスは、ハードウェアトークン・ソフトウェアトークン・メールパスワードシステムの3種類の方式に分類されます。ワンタイムパスワード発行までの手間、入力の手間など利便性とセキュリティの高さは、各製品により違いがあるので比較しましょう。
また、利便性の高さとセキュリティの高さに加えて予算面も考慮して、自社にとってバランスの取れている製品を選んでください。
2、認証の一元化システムと相性のいいものを選ぶ
社内で複数システムの認証を一元化するシステムを導入している企業もあるでしょう。例えばシングルサインオンや、複数のクラウドサービスの認証を一元化する仕組みを持つシステムなどはその一例です。
ワンタイムパスワードサービスを導入する場合は、自社が導入している認証関連システムと組み合わせて使えるものを選びましょう。
ワンタイムパスワードのデメリットはフォローできる
ワンタイムパスワードも、万全のセキュリティ対策ではありません。安全性と利便性にはデメリットもありますが、いずれも他のセキュリティ対策を組み合わせるなど、運用の工夫でフォロー可能です。ワンタイムパスワードはセキュリティ対策のひとつとして、他のセキュリティ対策と合わせて導入を検討しましょう。
ワンタイムパスワードサービスは多種多様です。自社で導入を検討する際は、ぜひ各製品の資料を入手して、導入製品の検討にお役立てください。