Written by Aimee
大好評!
Microsoft 365 セキュリティチェックシート
情報漏洩の要因となる、SharePoint、OneDriveでのファイル共有
Teamsでのゲストユーザー招待など
自社のセキュリティ状況を簡単に確認できるチェックシートです!
目 次
ワンタイムパスワード(One-Time Password、OTP)とは、一度限り利用が可能な使い捨てのパスワードです。従来の固定パスワードと異なり、毎回異なるパスワードを生成して認証に使用するため、セキュリティを大幅に向上させる技術として広く採用されています。
▼ワンタイムパスワードの確認方法
| トークン | ・インターネット接続が不要で、オフラインでも使用できる ・ハードウェアのトークンは常に携帯する必要がある |
|---|---|
| スマートフォン用アプリ SMS |
・スマホがあれば誰でも利用可能 ・トークンのような別のデバイスを携帯する必要がない ・スマホを紛失するとワンタイムパスワードが受け取れない |
| メール | ・PC・スマホなど、メールが受け取れる複数のデバイスで確認が可能 ・メールの遅延やスパムフィルターに引っかかる可能性がある |
| 電話 | ・インターネット環境がない場合でも利用できる ・音声の認識ミスや通話環境による問題が発生することもある |
仮に攻撃者が不正ログインを試みる場合、通常のIDとパスワードに加えて、その時点で有効なワンタイムパスワードを取得する必要性があるため、ワンタイムパスワード認証の導入は不正アクセス対策として非常に効果的です。
しかしながら、ワンタイムパスワード認証をも突破する巧妙なサイバー攻撃も存在するため、以下のようなセキュリティ対策を併用しましょう。
- ・ 別の認証方式との組み合わせ
- ・ OS・ソフトウェアのアップデート
- ・ アンチウイルスソフトの導入
この記事では、ワンタイムパスワードの概要、活用例やメリットについて詳しく解説いたします。
▼この記事を要約すると
- ワンタイムパスワードとは、一度きりしか使用できない使い捨てのパスワード
- ワンタイムパスワードの生成方法には、「チャレンジレスポンス認証方式」と「タイムスタンプ方式(時刻同期方式)」の2種類がある
- セキュリティ上のデメリットに「リアルタイム型フィッシング詐欺に対応できない」「デバイスやブラウザの乗っ取りに弱い」といった点があり、「(指紋認証など)別の認証方法と組み合わせる」「OS・ソフトウェアのアップデート」等、その他のセキュリティ強化との併用が重要
ワンタイムパスワードとは
ワンタイムパスワード(OTP)とは、一度きりの利用に限定された使い捨てのパスワードを指します。毎回異なるパスワードが生成され、通常は一定期間の有効期限が設定されています。有効期限を過ぎると、当該パスワードは無効となり再利用はできません。
このような特性により、ワンタイムパスワード認証を導入することで、攻撃者による不正な認証突破のリスクを大幅に低下させることが可能です。
ワンタイムパスワードの仕組み
ワンタイムパスワードが生成される仕組みには、主に「チャレンジレスポンス認証方式」と「タイムスタンプ方式(時刻同期方式)」の2つの方式があります。
1.チャレンジレスポンス認証方式
認証サーバーから送信されるチャレンジ(ランダムな文字列)を基に、ユーザーが計算したレスポンスを使用して認証を行う方式です。主な手順は以下の通りです。
1. ユーザーが認証サーバーに認証要求(ID)を送信する
2. 認証サーバーがチャレンジ(ランダムな文字列)を送信する
3. ユーザーがチャレンジを基にレスポンスを作成し、認証サーバーに送信する
4. 認証サーバー側でも同じ計算を行い、ユーザーのレスポンスと一致するかを検証する
5. 一致すれば認証が成功する
ユーザーがレスポンスを作成する必要があるため、チャレンジレスポンス認証方式は一般ユーザー向けサービスではほとんど使われていません。
2.タイムスタンプ方式(時刻同期方式)
時刻情報を基にワンタイムパスワードを生成する方式です。この方式では「トークン」と呼ばれる専用のハードウェアまたはソフトウェアが使用されます。
具体的には、トークンが生成するパスワードと認証サーバー側で計算されたパスワードを照合し、一致する場合に認証が成功します。
タイムスタンプ方式は、特にオフライン環境での利用に適していますが、トークンと認証サーバーの時刻が同期していない場合、認証が失敗するリスクがあります。
ワンタイムパスワードの受け取り方(確認方法)
ワンタイムパスワードの受け取り方法として、以下の手段が広く利用されています。
- ・ メール
- ・ トークン
- ・ スマートフォン用アプリ・SMS
- ・ 電話
メール
あらかじめ登録したメールアドレスに、ワンタイムパスワードを送信する方法です。
広く一般的に使われる方法ですが、スパムフィルターに引っかかる、あるいはメールアカウント自体にセキュリティリスクを含む可能性があるため、ユーザーは適切な設定が必要となります。
トークン
トークンは、ワンタイムパスワードを表示する小型の認証デバイスです。ユーザーはトークンに表示されるパスワードを、手動でPCやスマホに入力することで認証を行います。
▼ゆうちょ銀行のトークン(ワンタイムパスワード生成機)の例
出典:ゆうちょ銀行│「ゆうちょダイレクト」のセキュリティ強化について ~「トークン(ワンタイムパスワード生成機)」の無料配布を開始いたします~
トークンは、特に金融機関など高いセキュリティが求められる場面で利用されることが多く、インターネット接続が不要なためオフライン環境でも使用可能です。
スマートフォン用アプリ・SMS
スマホアプリを利用し、ワンタイムパスワードを受け取る方法もあります。
また、SMSもよく利用されています。
両者はスマホを所持していれば誰でも使用でき、トークンのように別途デバイスを持ち運ぶ必要がない点がメリットです。
ただし、スマートフォンを紛失した場合、パスワードを受け取れなくなるリスクが伴います。
電話
登録された電話番号に、自動音声でワンタイムパスワードを伝える方法です。
インターネット接続が不要なため、ネット環境がない場合にも利用可能です。ただし音声認識の誤りや通話品質といった問題が発生する場合があります。
ワンタイムパスワードの活用例
ここでは、ワンタイムパスワードが広く活用されている代表的な事例・シーンを4つご紹介します。
金融機関
金融機関では、不正送金やアカウントの不正利用を防ぐため、ログイン時や重要な取引の際にワンタイムパスワード認証を採用しているケースが一般的です。
かつては、セキュリティカード(乱数表カード)を使用して認証を行うことが主流でしたが、近年では専用のトークンやスマートフォンアプリを利用する形態が普及しています。
リモートワーク
リモートワーク(テレワーク)環境においては、機密情報を保護するために仮想プライベートネットワーク(VPN)を利用することが一般的です。しかし、VPN接続においてID・パスワードのみで認証を行う場合、不正アクセスのリスクが高まり、情報漏洩につながる危険性があります。
このため、ID・パスワードに加えてワンタイムパスワードによる追加認証を行うことで、セキュアなアクセス環境を構築できます。多要素認証(MFA)の一環として導入することで、リモート環境におけるセキュリティを大幅に向上させることが可能です。
SNS・Webメール
主要なSNSやメールサービスでは、不正ログインによるアカウントの乗っ取り、なりすまし被害などを防止する対策として、ワンタイムパスワードを活用した認証を採用しています。
特にパスワードリセット時や不審な場所からのログイン試行が検出された際、アカウント保護の観点から、ワンタイムパスワードが追加の認証手段として用いられるケースがあります。
仮想通貨(暗号資産)
仮想通貨取引所における大規模な資産流出事件の発生などを契機に、仮想通貨取引所や関連サービスでもワンタイムパスワード認証が積極的に導入されています。
取引時やウォレットアクセス時にワンタイムパスワードを利用することで、不正アクセスや資産流出のリスクを低減します。こうしたセキュリティ強化策は、ユーザーの信頼を維持し、取引所全体の信頼性向上にも寄与しています。
大好評!
Microsoft 365 セキュリティチェックシート
情報漏洩の要因となる、SharePoint、OneDriveでのファイル共有
Teamsでのゲストユーザー招待など
自社のセキュリティ状況を簡単に確認できるチェックシートです!
ワンタイムパスワードのセキュリティに関するデメリット
セキュリティ強化を図る上で欠かせないワンタイムパスワードですが、セキュリティ対策として、以下のような懸念や課題点もあります。
- ・ リアルタイム型フィッシング詐欺への脆弱性
- ・ デバイスやブラウザの乗っ取りに対する弱さ
リアルタイム型フィッシング詐欺に対応できない
リアルタイム型フィッシング詐欺は、ユーザーの認証情報をリアルタイムで攻撃者に送信させる巧妙な手口です。この攻撃では以下のような流れで不正行為が行われます。
詐欺手口の流れ
1. 攻撃者が「金融機関からの不正アクセス検知の通知」などを装ったメールをユーザーに送信し、偽のログインページに誘導する。
▼メール文の例
- 「あなたの銀行口座が第三者によって不正アクセスされたことを検知しました。すぐに下記URLからログインしてご確認ください」
2. ユーザーが偽のログインページにID・パスワードを入力すると、その情報が即座に攻撃者に送信される。
3. 攻撃者が本物のログインページにID・パスワードを使用し、正規サイトにアクセス。
4. 正規サイトからワンタイムパスワードが発行され、ユーザーに送信される。
5. 偽サイト上でユーザーにワンタイムパスワードの入力を促し、攻撃者が即座に使用して認証を突破する。
▼リアルタイム型フィッシング詐欺のイメージ
このように、ワンタイムパスワード認証も突破するような巧妙な手口には対応が難しいという課題があります。
デバイスやブラウザの乗っ取りに弱い
ワンタイムパスワードは、デバイスやブラウザのセキュリティが確保されていることを前提としたセキュリティ対策です。
しかし、攻撃者がデバイスを乗っ取るMITM(Man-in-the-Middle)攻撃やMITB(Man-in-the-Browser)攻撃を仕掛けた場合、ワンタイムパスワードが盗まれ不正ログインの被害に遭うリスクがあります。
・MITM攻撃による被害: 通信経路に割り込まれ、ワンタイムパスワードを含む認証情報が盗み取られる。
・MITB攻撃: マルウェアによってブラウザ内の操作が監視・改ざんされ、ワンタイムパスワードが攻撃者に送信される。
ワンタイムパスワード認証と併用したいセキュリティ対策
ワンタイムパスワード認証は、セキュリティを向上させる有効な手段ですが、単体で全ての脅威に対応できるわけではありません。高度化する攻撃手法に対抗するためには、以下のようなセキュリティ対策を併用することが推奨されます。
- ・ 別の認証方式との組み合わせ
- ・ OS・ソフトウェアの定期的なアップデート
- ・ アンチウイルスソフトの導入
1.別の認証方式との組み合わせ
ワンタイムパスワードは多要素認証(MFA)を実現する方法の1つですが、多要素認証で利用される複数の異なる要素認証は、主に次の3つの要素がよく利用されます。
- ・ 知識情報: ユーザーが知っている情報(例: パスワード)
- ・ 所持情報: ユーザーが所有しているデバイスやトークン(例: スマートフォン、ハードウェアトークン)
- ・ 生体情報: ユーザーの身体的特徴(例: 指紋、顔認証、虹彩認証)
たとえば、「知識情報のID・パスワード+所持情報のワンタイムパスワード+生体認証」のように、複数の要素を組み合わせることで、不正アクセスのリスクを大幅に低減できます。
ワンタイムパスワード以外にも、生体認証やデバイスを限定するような認証を導入することで、リアルタイム型フィッシング詐欺や中間者攻撃(MITM)といった高度な攻撃にも対応可能となります。
2.OS・ソフトウェアの定期的なアップデート
PCやスマホなどのOS、ソフトウェアは、新たに発見される脆弱性に対し、常に攻撃されるリスクを抱えています。そのためOSやソフトウェアを定期的にアップデートし、最新のセキュリティパッチを適用することが重要です。
アップデートを怠ると、攻撃者に脆弱性を悪用され、デバイスの乗っ取りや不正操作を許す結果となる可能性があります。特に、ブラウザや認証関連のアプリケーションは攻撃の標的となりやすいため、常に最新の状態を保つ必要があります。
3. アンチウイルスソフトの導入
高度なアンチウイルスソフトを導入することで、デバイスを狙ったマルウェアやスパイウェアからの保護を強化できます。特に、以下のような攻撃を防ぐために有効です。
●マルウェア感染: 悪意のあるプログラムを通じてデバイスが乗っ取られるリスクの防止
●MITB攻撃: ブラウザ内部にマルウェアを仕込まれ、不正操作されるリスクの軽減
アンチウイルスソフトは、既知の脅威だけでなく、未知の脅威にも対応できる振る舞い検知型の機能を備えた製品を選ぶことが推奨されます。
クラウドサービスや自社システムの「認証周りの最適化」は
LANSCOPE プロフェッショナルサービスにお任せください
お使いのクラウドサービスや自社サイト、システムの認証強化を最適化するなら、LANSCOPE プロフェッショナルサービスが提供する、セキュリティ診断(脆弱性診断)にお任せください。
セキュリティの専門家が、貴社の認証・アクセス周りのセキュリティリスクを診断し、リスクレベルに基づく脆弱性の優先順位づけや、最適な対策方法について提案します。
自社システムやサイトの「認証周り」の課題に対策する「脆弱性診断」
LANSCOPE プロフェッショナルサービスが提供する「脆弱性診断」では、お客様のサーバーやネットワーク・Webアプリケーション環境にて、脆弱性の有無や権限設定の見直しなどを弊社専門家が実施。
リスクベース認証の導入が日常的な対策とすれば、脆弱性診断はスポットで定期的に実施する「健康診断」のようなセキュリティ対策です。
▼脆弱性診断:「認証周り」の確認項目の例
- ・ アカウントロックの有無(適切か)
- ・ 多要素認証の有無
- ・ エラーメッセージから認証情報が推測できないか
- ・ パスワードの強度は十分か
脆弱性診断を受けることで、組織の現状環境が「不正アクセス攻撃への耐性があるか」「課題は何か」「セキュリティリスクはどのレベルか」等を明らかにし、脆弱性へ対策を効率的に打つことが可能です。
クラウドサービスへの不正アクセスを防止「クラウドセキュリティ診断」
現在ご利用中のクラウドサービスにおける、認証周りのセキュリティ強化なら、クラウドセキュリティ診断がおすすめです。
CISベンチマークやJPCERT・IPAなどの発信する情報を定期的に収集し、診断ルールに反映することで、常に最新のセキュリティ基準やルールに則った診断をご提供することが可能です。
さらに、対応可能なクラウドサービスは多岐にわたり、幅広いお客様のクラウド環境に関するセキュリティ不安を解消するためのお力添えが可能です。
▼対応可能なクラウドサービスの診断一覧
- ・ Microsoft 365 セキュリティ診断
- ・ Google Workspace セキュリティ診断
- ・ Salesforce セキュリティ診断
- ・ Amazon Web Services(AWS)セキュリティ診断
- ・ Microsoft Azure セキュリティ診断
- ・ Google Cloud Platfor (GCP)セキュリティ診断
- ・ Zoom セキュリティ診断
- ・ Box セキュリティ診断
- ・ Slack セキュリティ診断
多要素認証を含む、クラウドサービスのセキュリティ対策に興味のある方は、以下ページをご覧ください。
まとめ
本記事では「ワンタイムパスワード」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- ワンタイムパスワードとは、一度きりしか使用できない使い捨てのパスワード
- ワンタイムパスワードの生成方法には、「チャレンジレスポンス認証方式」と「タイムスタンプ方式(時刻同期方式)」の2種類がある
- セキュリティ上のデメリットに「リアルタイム型フィッシング詐欺に対応できない」「デバイスやブラウザの乗っ取りに弱い」といった点があり、「多要素認証」「OS・ソフトウェアのアップデート」等、その他のセキュリティ強化との併用が重要
ワンタイムパスワードは、認証におけるセキュリティ強化の有効な手段として、金融機関やクラウドサービス、SNS、リモートワーク環境など幅広い分野で採用されています。
しかしながら、ワンタイムパスワード単体では高度な攻撃手法・脅威への対策が不十分な場合もあるため、多層的な防御体制を構築することが重要となります。
大好評!
Microsoft 365 セキュリティチェックシート
情報漏洩の要因となる、SharePoint、OneDriveでのファイル共有
Teamsでのゲストユーザー招待など
自社のセキュリティ状況を簡単に確認できるチェックシートです!
おすすめ記事
