ワンタイムパスワードのデメリットと対策！サービスの選び方も紹介

ワンタイムパスワードのデメリット

ワンタイムパスワードはセキュリティを強化するとされていますが、それだけで万全とは限りません。ここからはデメリットを具体的に解説します。

ウイルス感染やサイバー攻撃のリスクがある

ワンタイムパスワードをメールやSMSで受信して認証を行うパターンもありますが、万が一パソコンやスマートフォンがウイルスに感染していた場合、メールなどの情報が盗まれる可能性もあるのです。

また、「MITB（Man-in-the-Browser）」といったマルウェアによる攻撃手口も出現しています。例えば、ネットバンキング利用時にワンタイムパスワードを入力した際、パソコンがマルウェアによるウイルス感染を起こしていた場合は、マルウェアがログインを感知します。その時点でブラウザが乗っ取られ、盗聴や改ざん、不正送金などの被害に遭う可能性があるのです。

なお、MITB攻撃はフィッシングサイトなどの偽サイトではなく、正規サイトへの接続において行われるため、企業側ではトランザクション署名などの強固なセキュリティ対策が求められます。また個人でも、ウイルス対策やOSのアップデートなどを怠ってはいけません。

フィッシングサイトで悪用される可能性もある

ネットバンキングなど本物のサイトに酷似したフィッシングサイトで、認証を突破されるケースもあります。これは偽メールなどを使ってフィッシングサイトに誘導し、IDとパスワードを入手した後で、ワンタイムパスワードを入力させる手口です。ワンタイムパスワードを利用しているからといって、必ずしも安全とは限らないのです。

ユーザー側の利便性が低い

ワンタイムパスワードは、一定時間・一度きりしか使えないパスワードです。そのため固定パスワードと比べるとパスワードを推測されにくく、情報漏えいのリスクが少なくなります。しかし毎回異なる文字列を入力しなければならないため、ユーザーにとっては不便といえるでしょう。

セキュリティ強化のための対策

ワンタイムパスワードの脅威に対する効果的な対策を解説します。

企業側の対策１．トランザクション署名

さまざまなサイバー攻撃に対して、企業側の対策としては「トランザクション署名」があります。これはスマートフォンアプリやトークン（ワンタイムパスワードを生成する機器やアプリ）により、取引内容をデジタル署名する方法です。

例えば、振込先の口座番号を入力するとその数値を基にした８桁のデジタル署名が表示されます。もしブラウザ内で振込先が不正に書き換えられたとしても、振込画面で表示されたデジタル署名を内部で照合することで異変を察知し、不正送金を防げます。

企業側の対策２．スマート認証

企業のセキュリティ対策の取り組みとしてスマート認証も挙げられます。あるネットバンクの導入事例を紹介しましょう。

パソコンのネットバンキングで振込をする際、あらかじめ登録したスマートフォンに振込先や金額、６桁の取引番号が通知されます。アプリ上で振込内容や６桁の数字が一致しており、内容に問題がなければ「承認」ボタンをタップします。スマート認証により、不正に振込先が書き換えられてもユーザー側で異変に気付けるでしょう。

スマート認証ではユーザー側に、振込内容や数字が一致しているかどうかの確認を求めることで、より効果的なセキュリティ対策を行います。

ユーザー側の対策：ウイルス対策

ワンタイムパスワードで不正アクセスなどの被害に遭ったユーザーは、ウイルスに感染していたというケースがよくあります。サイバー攻撃から情報資産を守るために、ユーザー側ではOSやアプリケーショを常に最新状態にしておきましょう。セキュリティ対策ソフトのインストールも欠かせません。ほかにもWebメールではなくキャリアメールを使い、身に覚えのないメールや通知は開かないなど、基本的なセキュリティ対策が重要です。

ワンタイムパスワードサービスの選び方

ワンタイムパスワードサービスを導入する際に気をつけるべきポイントを、利便性とコストの面から紹介します。

ユーザーの利便性・セキュリティ強化のバランスで考える

ワンタイムパスワードの生成方法は主に以下の３つのものが挙げられます。

ハードウェアトークン

物理的な電子機器を用いたもの。USB型、キーホルダー型、カード型など。

ソフトウェアトークン

パソコンやスマートフォンにアプリをインストールし、デバイスにワンタイムパスワードを表示させるもの。

メールパスワードシステム

システムが生成したワンタイムパスワードをメールでユーザーに通知するもの。

サービスを導入する際、ユーザーの使い勝手やセキュリティ面のバランスを考慮することが大切です。ワンタイムパスワードを生成する製品やサービスによって、パスワード発行や入力、確認までにかかる時間はさまざまです。

製品やサービスの特徴を理解した上で、自社のユーザーにとって最適なワンタイムパスワードサービスを導入しましょう。

コスト面で考える

ユーザーの利便性が高く、自社が求めるセキュリティの要件を満たしながらも、予算内で導入できる製品やサービスの選定をおすすめします。

ハードウェアトークンを導入する場合、利用規模によって初期費用が大きく異なります。一方でソフトウェアトークンやメールパスワードシステムの場合、ユーザー数が多くても物理的な機器が不要なので導入費用を抑えられます。どのソリューションが自社の要件を満たしているのか、慎重な検討を行いましょう。

ほかのセキュリティ対策と組み合わせて活用しよう

ワンタイムパスワードは、固定パスワードのみの認証方式よりセキュリティが高いとされていました。しかしユーザーの利便性が低く、サイバー攻撃により安全性が脅かされるケースもあります。情報資産を守るためにもワンタイムパスワードのデメリットを理解した上で、適切なセキュリティ対策を講じることが大切です。