ワンタイムパスワードは危ない？正しい理解が、情報漏洩を防ぐ

インターネットバンキングを利用するときなどに、「ワンタイムパスワード」の入力を求められたことはありませんか。

大手銀行も導入している「ワンタイムパスワード」ですが、2013年9月、独立行政法人情報処理推進機構が、不正利用の危険性を発表しています。

あなたが、信頼しているインターネットバンキングや、ウェブサービスは本当に安全ですか？ワンタイムパスワードを正しく理解して、大事な情報や資産を守りましょう。

ワンタイムパスワードとは

「ワンタイムパスワード」とは、1回だけしか利用することのできない、使い捨てのパスワードのことです。

一定時間ごとに自動的に新しいパスワードに変更されていくため、その日、そのタイミングでしか使うことができません。

一度利用したパスワードは2回目以降は無効となり、一般的なパスワード認証と比べて、高いセキュリティを維持できるとして注目されてきました。

ワンタイムパスワードが危険だといわれる理由

安全だと思われていた「ワンタイムパスワード」ですが、警視庁による「2013年1月から7月までのインターネット不正送金による被害額が過去最悪だった」との発表をうけ、独立行政法人情報処理推進機構がその危険性を指摘しています。

2013年よりも前のウィルスは、利用者のパソコンに侵入し、不正なポップアップ画面を表示させることによって、インターネットバンキングなどの不正操作に必要な情報（ID、パスワード、暗証番号、乱数表など）を、盗み取る手口が主流でした。

この場合、ポップアップ画面で入力してしまった全情報が悪意のあるユーザーに渡ってしまいますが、入力していない情報については漏れることはありません。そのため、メールで受信する「ワンタイムパスワード」が、不正操作を防ぐ、有効な対策として機能していたのです。

ところが、新しいウィルスは、インターネットバンキングなどの不正操作に必要な情報と併せて、ウェブメールのログイン情報を盗み取る機能があります。このことによって、悪意のあるユーザーは、ウェブメールで通知されるワンタイムパスワードをいとも簡単に入手することができるようになってしまったのです。

ワンタイムパスワードを効果的に利用する方法

先述した通り、ウェブメールでワンタイムパスワードを受信している場合、悪意のあるユーザーによって認証を突破されるリスクが十分に考えられます。そのため、銀行や証券会社などを中心に、セキュリティレベルをより高めるための対策を打ち出しています。

その1つが、携帯電話のSMS（ショートメッセージサービス）を利用した「SMS認証」です。「SMS認証」では、ワンタイムパスワードを、SMSを使って送信します。SMSは、携帯電話を保有しているときにのみ閲覧することができるため、ウェブメールで通知するよりも、セキュリティレベルを高めることができます。

三菱東京UFJ銀行や、三井住友銀行などでは、ワンタイムパスワード専用のアプリを提供しています。

三菱東京UFJ銀行の場合、アプリの利用登録を済ませると、振り込み時に、ワンタイムパスワードの確認が自動で行われるようになります。アプリを利用することによって、入力の手間が省けるだけでなく、セキュリティレベルを高めることができるのです。

スマートフォンでインターネットバンキングなどを操作する場合は、専用アプリを利用することが推奨されます。

まとめ

これまで安全だと思われていた「ワンタイムパスワード」ですが、新種のウィルスによって、認証が突破されるリスクが高いことが分かりました。

そのため、ワンタイムパスワードはウェブメールではなく、SMSで受信する、専用のアプリを利用するなどの対策が必要です。

（画像はphoto ACより）