ワンタイムパスワードとは?ECサイトのセキュリティ効果を高める対策
目次
Yahoo!のアカウントを持っている方は、ログイン時によりセキュアな環境でネットワーク接続するために、メールかアプリでワンタイムパスワードを用いることができます。
ワンタイムパスワードは、オンラインゲームやECサイトといった高いセキュリティが求められるネットワーク接続の際にも用いられます。
ワンタイムパスワードを解説するのに身近な例として、今回はオンラインバンクを例に挙げ、ワンタイムパスワードがどのような場面で用いられるのか、どのような仕組みなのかといった点に焦点を当てて解説したいと思います。
もしなんらかのルートで悪意のある第三者がこのワンタイムパスワードを入手したとしても、このワンタイムパスワードだけでは不正利用に用いることはできません。また、ワンタイムパスワードは1度しか用いることができないため、悪意ある第三者がもしID・パスワード・ワンタイムパスワードを入手できたとしても、オンラインバンクで用いられているワンタイムパスワードは時間と共に変化するものが多いため、同じものを再度使うことはできません。
トークンは利用者と紐付けられているため、利用者が指定された数字やアルファベットを入力することによってサーバー側が照合をおこないます。オンラインバンクではこのタイムスタンプ方式を用いているものが多いようです。
タイムスタンプ方式は、時刻によってパスワードが変化するものです。例えば楽天銀行ではワンタイムパスワードとしてセキュリティカードを使用します。
セキュリティカードは銀行口座開設をおこなった利用者に事前に配布され、裏面に記載されているアルファベットと数字は利用者によってすべて異なります。
ワンタイムパスワードには毎回異なる文字の組み合わせを認証に用いるため、セキュリティカードの全ての文字の配列を把握していない限り、これを第三者が知り得る術はありません。
トークンはカードだけではなく、ほかの方法で使うこともできます。
たとえば三菱東京UFJ銀行の場合、スマートフォンにアプリをインストールするとリクエストに応じて自動生成されるワンタイムパスワードを利用できます。利用するためには事前登録が必要です。スマートフォンアプリの他に、セキュリティカードも選択できます。
なお、オンラインバンクのログイン後におこなわれる「秘密の質問」は「リスクベース認証」と呼ばれ、ワンタイムパスワードとは異なります。この質問は本人確認ができないときや、いつもと違う場所からアクセスを行うときなどに表示されます。
不正利用の原因としてよく挙げられるのがフィッシング詐欺と不正送金ウイルスによるものです。これらの不正利用は年々手口が巧妙化しており、一見しただけでは判断できないほど作り込まれているものも多くなってきています。
またオンラインバンクの話になってしまいますが、不正利用は個人を標的にした小口のものが多かったところ、最近は法人も標的として狙われています。
記憶に新しいものでいえば、2017年12月には日本航空が約3億8千万もの詐欺被害に遭いました。
手口はフィッシング詐欺で、送信元のメールアドレスは日本航空の取引先担当者のメールアドレスに装ったものが使用されていました。
何重ものチェックを経たにもかかわらず、上記の金額は指定された口座に支払われてしまいました。
本文に記載されているURLにアクセスすると、本物のウェブサイトのログイン画面に似せたページが表示されます。しかしこのURLはID・パスワードなどを盗むための偽のウェブサイトであり、こちらにID・パスワードを入力してしまうと情報が盗まれてしまいます。
このウイルスに感染すると、本物のオンラインバンクやクレジットカードのログイン画面にそっくりなポップアップが表示されます。
最初のログイン画面では通常入力する必要がない暗証番号や秘密の質問を入力する欄があるため、利用者がIDとパスワードを入力してしまい不正送金の被害に遭うという事例が続出しています。これは警視庁のホームページでも注意喚起として掲載されています。
オンラインバンクで用いられるワンタイムパスワードは、トークンを用いたタイムスタンプ方式、チャレンジ・レスポンス方式を用いることによってセキュリティ効果を高めています。
ワンタイムパスワードを用いることによってセキュリティを強化することができますが、サイバー犯罪は年々新しいタイプのものが出てきているので、注意が必要です。また、自分の口座が不正利用に用いられていないか定期的に確認することも大事です。
サイバー犯罪の被害を未然に防ぐためには、上記に挙げたような犯罪の手口を理解しておくことで犯罪被害に遭う確率を低くすることができます。
- ワンタイムパスワードとは?
- ワンタイムパスワードの仕組み
- どのような原因で不正利用される?サイバー犯罪の手口
- まとめ
Yahoo!のアカウントを持っている方は、ログイン時によりセキュアな環境でネットワーク接続するために、メールかアプリでワンタイムパスワードを用いることができます。
ワンタイムパスワードは、オンラインゲームやECサイトといった高いセキュリティが求められるネットワーク接続の際にも用いられます。
ワンタイムパスワードを解説するのに身近な例として、今回はオンラインバンクを例に挙げ、ワンタイムパスワードがどのような場面で用いられるのか、どのような仕組みなのかといった点に焦点を当てて解説したいと思います。
ワンタイムパスワードとは?
ワンタイムパスワードは、よりセキュリティを高めるために用いられる「使い捨てのパスワード」のことです。利用者が設定したオンラインバンクのIDとパスワードのほかに、ワンタイムパスワードを組み合わせることでセキュリティを強固にしています。もしなんらかのルートで悪意のある第三者がこのワンタイムパスワードを入手したとしても、このワンタイムパスワードだけでは不正利用に用いることはできません。また、ワンタイムパスワードは1度しか用いることができないため、悪意ある第三者がもしID・パスワード・ワンタイムパスワードを入手できたとしても、オンラインバンクで用いられているワンタイムパスワードは時間と共に変化するものが多いため、同じものを再度使うことはできません。
ワンタイムパスワードの仕組み
ワインタイムパスワードは、「タイムスタンプ方式」と「チャレンジ・レスポンス方式」の2種類があります。以下ではタイムスタンプ方式とチャレンジ・レスポンス方式について解説していきたいと思います。タイムスタンプ方式
タイムスタンプ方式はセキュリティカードやUSBといった「トークン」と呼ばれるものを利用者に事前に送付します。(利用するためには事前申請が必要な銀行もあります。)トークンは利用者と紐付けられているため、利用者が指定された数字やアルファベットを入力することによってサーバー側が照合をおこないます。オンラインバンクではこのタイムスタンプ方式を用いているものが多いようです。
タイムスタンプ方式は、時刻によってパスワードが変化するものです。例えば楽天銀行ではワンタイムパスワードとしてセキュリティカードを使用します。
セキュリティカード 画像出典:楽天銀行
https://www.rakuten-bank.co.jp/security/howto/enhanced/securitycard/
セキュリティカードは銀行口座開設をおこなった利用者に事前に配布され、裏面に記載されているアルファベットと数字は利用者によってすべて異なります。
ワンタイムパスワードには毎回異なる文字の組み合わせを認証に用いるため、セキュリティカードの全ての文字の配列を把握していない限り、これを第三者が知り得る術はありません。
トークンはカードだけではなく、ほかの方法で使うこともできます。
たとえば三菱東京UFJ銀行の場合、スマートフォンにアプリをインストールするとリクエストに応じて自動生成されるワンタイムパスワードを利用できます。利用するためには事前登録が必要です。スマートフォンアプリの他に、セキュリティカードも選択できます。
参考:三菱東京UFJ銀行、ワンタイムパスワード
http://direct.bk.mufg.jp/secure/otp/index.html
チャレンジ・レスポンス方式
チャレンジ・レスポンス方式は、利用者がサーバー側にリクエストを送信することによって、サーバー側が利用者に事前に設定した質問を投げかけます。 サーバー側からの質問は毎回ランダムなものが生成されます。利用者はその質問に対して回答することにより、サーバー側が質問に対する答えを照合します。なお、オンラインバンクのログイン後におこなわれる「秘密の質問」は「リスクベース認証」と呼ばれ、ワンタイムパスワードとは異なります。この質問は本人確認ができないときや、いつもと違う場所からアクセスを行うときなどに表示されます。
どのような原因で不正利用される?サイバー犯罪の手口
インターネットを利用するのであれば、必ず理解しておかなければいけないのがサイバー犯罪の手口です。不正利用の原因としてよく挙げられるのがフィッシング詐欺と不正送金ウイルスによるものです。これらの不正利用は年々手口が巧妙化しており、一見しただけでは判断できないほど作り込まれているものも多くなってきています。
またオンラインバンクの話になってしまいますが、不正利用は個人を標的にした小口のものが多かったところ、最近は法人も標的として狙われています。記憶に新しいものでいえば、2017年12月には日本航空が約3億8千万もの詐欺被害に遭いました。
手口はフィッシング詐欺で、送信元のメールアドレスは日本航空の取引先担当者のメールアドレスに装ったものが使用されていました。
何重ものチェックを経たにもかかわらず、上記の金額は指定された口座に支払われてしまいました。
参考:毎日新聞、ついに高額被害 ビジネスメール詐欺の手口以下では、よくおこなわれるサイバー犯罪の手口について簡単に触れたいと思います。
https://mainichi.jp/articles/20171223/k00/00m/040/083000c
フィッシング詐欺
フィッシング詐欺は利用者のメールアドレスやSNSに利用している銀行などを装ったメッセージが送信されます。上記の日本航空の件もフィッシング詐欺によるものです。本文に記載されているURLにアクセスすると、本物のウェブサイトのログイン画面に似せたページが表示されます。しかしこのURLはID・パスワードなどを盗むための偽のウェブサイトであり、こちらにID・パスワードを入力してしまうと情報が盗まれてしまいます。
不正送金ウイルス
不正送金ウイルスは、パソコンやスマホがウイルスに感染することで引き起こされます。このウイルスに感染すると、本物のオンラインバンクやクレジットカードのログイン画面にそっくりなポップアップが表示されます。
最初のログイン画面では通常入力する必要がない暗証番号や秘密の質問を入力する欄があるため、利用者がIDとパスワードを入力してしまい不正送金の被害に遭うという事例が続出しています。これは警視庁のホームページでも注意喚起として掲載されています。参考:警視庁、ネットバンキングに係る不正アクセス被害の防止対策についてこれらの詐欺被害を未然に防止するためには、オンラインバンクを利用する前に不自然なところはないか確認をおこなう、怪しいメールではないか疑う、定期的に明細を確認する、またパソコンなどのデバイスにアンチウイルスソフトをインストールしておくことなど、自分で気をつけることが大事です。
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/notes/net_banking.html
まとめ
以上がオンラインバンクを例としたワンタイムパスワードの解説でした。オンラインバンクで用いられるワンタイムパスワードは、トークンを用いたタイムスタンプ方式、チャレンジ・レスポンス方式を用いることによってセキュリティ効果を高めています。
ワンタイムパスワードを用いることによってセキュリティを強化することができますが、サイバー犯罪は年々新しいタイプのものが出てきているので、注意が必要です。また、自分の口座が不正利用に用いられていないか定期的に確認することも大事です。
サイバー犯罪の被害を未然に防ぐためには、上記に挙げたような犯罪の手口を理解しておくことで犯罪被害に遭う確率を低くすることができます。
PR:ECサイト構築パッケージ「Orange EC」ではお客様にECサイト運営のノウハウをお伝えしています
