SMSの二段階認証で使われる「ワンタイムパスワード」とは?発行から送信方法までを徹底解説

ワンタイムパスワードというと、金融機関の二段階認証や決済時の本人確認などで不正アクセスを防ぐために利用される「一度きりのパスワード」のことです。

サイトを運営する方の中には、顧客の個人情報などの流出というリスクを回避するためのセキュリティ対策として、ワンタイムパスワードの導入を検討している方もいるのではないでしょうか。しかしそのためには、ワンタイムパスワードの特徴やどんなサービスと相性が良いのかを確認しておく必要があります。

今回はワンタイムパスワードの特徴や利用されているシーン、具体的な使い方から発行方法まで解説します。

NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード


※本記事はNTTコム オンライン・マーケティング・ソリューション株式会社提供によるスポンサード・コンテンツです。


ワンタイムパスワードとは不正アクセスを防ぐために活用する一度きりのパスワードのこと

ワンタイムパスワードは、サイトへの不正アクセスを防止するための仕組みです。

SMSを利用して、サイトにログインするためのパスワードを送り、二段階認証をします。
この時に発行される1回使い捨てのパスワードを「ワンタイムパスワード」と呼んでいます。

通常のユーザーが持っているIDとパスワードに加えて、一度だけ発行されるワンタイムパスワードをセキュリティ面で強い携帯電話にアプリやSMSを通じで送ることで本人確認を行います。

ワンタイムパスワードは一度利用したら無効になり、発行されたパスワードが有効になっていて使える時間はたいていの場合30秒前後と短い時間です。


ワンタイムパスワードが利用されているケース

ワンタイムパスワードを使う目的は大きく分けて2つあります。

ひとつは、個人情報を扱うような情報漏洩のリスクが高いサービスを提供するときに、安全性を高めて本人以外の人が不正にサイトにアクセスすることを防ぐためです。アクセスするたびに、違ったパスワードを入力させることで不正アクセスのリスクを下げることができます。

もしワンタイムパスワードを他人に知られてしまっても、一度使ったワンタイムパスワードをもう一度使うことはできないのでログインはできず、安全性が向上します。

さらに、ワンタイムパスワードは使うことのできる期間がとても短いのも特徴です。多くの場合30秒程度の有効期間しかありません。不正使用をしようと悪意のある人が考えても、30秒でパスワードを破ることは難しいので、時間的な余裕を与えないことも不正アクセスを防ぐ有効な対策となっています。

また、Wi-Fiにログインする前にワンタイムパスワードを使用して会員登録をするときにも用いられます。

もうひとつのワンタイムパスワードの使用目的は、IDの発行や会員登録するときに、登録者本人に確実に情報を届けるために使います。

IDの発行や会員登録には電話番号を入力することが多いので、SMSを使ってワンタイムパスワードを送ることで、申請されている電話番号が本人の番号か、申請者本人が会員登録を行っているか、なりすましではないか確認しています。

それぞれの利用シーンを整理すると下記の表のようになります。

利用目的 利用シーン
①情報漏洩などのリスクが高いサービスにおいて、より安全性を高める目的 アクセス毎に、URLやパスワードを振り出すことにより、不正アクセスのリスク減少を期待できる。
Wi-fiにログインする前に、ワンタイムパスワードを使った認証を行い会員登録をする。
②ID発行や会員登録の場面で、登録者本人に確実に情報を届ける目的 パスワード/IDの発行・再発行のタイミングで、登録携帯電話番号宛にSMSで、再発行のワンタイムURLやパスワードを発行する。

より安全性を高める目的でワンタイムパスワードを使う

ユーザーが安全に安心してサイトを利用するためにワンタイムパスワードを使うどんなシーンがあるでしょうか

ネットバンキングで1回きりのパスワードを発行

よく利用されるのは金融機関のサイトです。特にインターネットバンキングでの振込の際本人確認のために、IDとパスワードの認証と合わせて二段階認証を行うため、SMSから送られてくるワンタイムパスワードを使います。

最近ではショッピングサイトでクレジットカード決済を行う時や、仮想通貨取引所でも不正な引き出しを防止するために活用されています。

店舗でWi-Fiを利用する際の本人認証に利用。

最近はカフェやレストラン、公共の場所やショッピングを楽しむ場所など、フリーWi-Fiが用意されているエリアが増えてきました。

店舗でWi-Fiを利用する際には簡単なアクセス登録が求められることがあります。その時に電話番号を入力して、ワンタイムパスワードを送ってもらい、それを用いてWi-Fiにログインする方法がとられます。

この場合も本人認証のためにワンタイムパスワードを使う一例です。

ID発行や会員登録の場面で、登録者本人に確実に情報を届ける目的での利用

スマホのゲームアプリで、会員登録に利用

スマホのゲームアプリの会員登録の際にもワンタイムパスワードを使うことがあります。

最近ではオンラインゲームのアカウントハッキングが増えてきていて、自分の知らないうちにゲームの中のキャラクターを操作されたり、ゲーム内で保有していた通貨やアイテムなどが盗まれるということがおきています。

そういった不正アクセスを防ぎ、自分の資産を守るためにログインのときにワンタイムパスワードが用いられます。

会員サイトのIDやパスワードを忘れた際に、本人確認のために利用

一度はみなさんも経験があると思いますが、会員サイトのIDやパスワードを忘れたときに、本人確認のためにあらかじめ登録しておいた携帯電話にワンタイムパスワードが送られます。

受け取ったワンタイムパスワードを使ってログインし、パスワードの再設定などを行います。

いたずら防止(ホテル予約したのに来ない、など)

最近はオンラインでホテルや新幹線などさまざまなものの予約が可能になりました。インターネットで予約ができるのでとても便利になりましたが、予約はしても実際には利用しないという「いたずら」の予約が増えたのも事実です。

ホテルとしては、登録された情報だけでは、オンライン予約のどのお客様がいたずらか、そうでないかを確かめることができませんので、予約が入ればその分の部屋を確保しておく必要があります。しかし当日になって、利用者がないということになれば、用意していた部屋は稼働せず、他の宿泊客もいないということになり収益が上がりません。

ですから、できるだけ「いたずら目的の空予約」を減らすために、会員登録の際、個人と結びついている携帯電話番を登録し、その番号にワンタイムパスワードを送付します。それを受け取った本人はサイトにワンタイムパスワードを入力してから予約が可能になるような流れになっています。

参考サイト:NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード


ワンタイムパスワードの発行方法は大きく4つある

ワンタイムパスワードの発行方法は大きく分けると以下の4つになります。

  1. トークンを利用した発行
  2. SMSを使った発行
  3. メールを使った発行
  4. 電話を使った発行

ワンタイムパスワードの4つの発行方法についてそれぞれの方法の特徴や、メリット、デメリットを解説します。

1.トークンを利用した発行

トークンとはワンタイムパスワードを発行するためのキーホルダー型や、カードほどの大きさの端末を指します。ほかにも、スマホやパソコンのアプリなどで発行することもあります。

トークンは、ワンタイムパスワードを発行するために難しい操作がいらないので、年配の方でも利用がしやすい方法です。

しかし、小さな端末を紛失する可能性や、盗難にあうこと可能性があります。紛失した場合には金融機関などに連絡してトークンの無効化や再発行の手続きが必要です。

別の不安要素としては、トークンは小さいですが機械なので電池で動いています。長期間使っていると電池が切れてしまう恐れもあります。

2.SMSを使った発行

スマホや携帯電話のSMS(ショートメール)を利用してワンタイムパスワードを発行する方法もあります。SMSで受け取ったワンタイムパスワードをそのまま使うのでアプリをインストールするなどの手間はほとんどかかりません。

また、電話番号を使って配信されるので、メールアドレスのように変更されてしまい届かないというケースはかなり少ないです。

3.メールを使った発行

普段利用しているメールにワンタイムパスワードを送信する方法もあります。

ワンタイムパスワードを利用するサイトであらかじめメールアドレスを登録しておいて、ログインなどで必要になった時に送信されるという感じです。

メールの開封はたいてい誰でも行えるので使いやすい方法です。

しかし、GmailやYhooメールなどのフリーメールは、セキュリティ面でキャリアメールやプロバイダから発行されるメールより劣るので第三者にメール内容を盗み見される可能性があります。

できるだけワンタイムパスワードを受け取るメールアドレスは、キャリアメールかプロバイダのメールアドレスにしましょう。

4.電話を使った発行

電話による音声発行という方法もあります。サイトに登録しておいた電話番号に電話がかかってくることが利用サイトに表示されるので、それに同意したら電話がかかってきて音声でワンタイムパスワードを伝えてくれます。

電話を受けた利用者本人のみが使えるのでパスワードの流出がきわめて少ないといえます。メールやSMSとは違い文章で記録が残るわけではないので安全です。

電話がかかってきたときには、それほど長いパスワードではないのでそのまま頭に記憶するか、メモをとる必要があります。


SMSを使ったワンタイムパスワードの発行・送信にはSMS送信サービスが必須!

SMSを通してワンタイムパスワードを使うなら、SMS送信サービスを利用するのが一般的です。SMS送信を扱っているビジネス向けに販売されているサービスは多くの種類があります。

サービスによって得意分野も変わって来るので自分のニーズに合ったサービスを利用しましょう。

ワンタイムパスワードを送信して、SMS認証を使いたいのであれば、API連携が可能なSMS送信サービスを選びましょう。

APIとは Application Programming Interface(アプリケーションプログラミングインターフェイス)の略です。これはソフトウェアの機能を共有する仕組みを指しています。

1つのアプリケーションが持っている機能をほかのプログラムからも利用できるようにしているということです。例えばGoogleMapsやYoutubeが外部のサイトに組み込まれているのを見ることがありますね。それがAPIを利用して作っているサイトということです。

SMSでワンタイムパスワードを送るときにもAPIを使うことがほとんどです。自社サイトで会員登録などを行うにはほとんどの場合自社のシステムにSMS送信のAPIを組み込む必要があるからです。

APIを提供しているSMS送信サービスを選ぶとhttps通信を使ってSMS送信リクエストを送ることができます。

ここで、自社が契約したAPIに、自社以外の第三者がアクセスできることがあってはなりません。

API 連携の認証方式について十分に確認しておきましょう。また、24時間365日稼働する自社システムと連携するAPIならば、API側も24時間365日の障害サポート体制が必要になります。この点もよく確認しておきましょう。

NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード


まとめ

ワンタイムパスワードがどんなものか、その目的や使い方を知ることができました。セキュリティを高くしたり、本人に大切なメッセージを伝えるためにも用いられています。

ワンタイムパスワードの発行の仕方は4つあって、その中でもサイトを運営するならSMSをつかった認証が使いやすいです。

サイトを利用する側も、サイトを作って管理する側もセキュリティをしっかり保って安心してやり取りするためにも、積極的にワンタイムパスワードを使うようにしてください!

本人性の高いSMS認証や、返信率85%以上のSMS一斉送信などの活用方法をご提案します(PR)

NTTコム オンラインが提供する『空電プッシュ』は、携帯電話やスマートフォンのSMS(ショートメッセージ)機能をビジネスの様々なシーンで組み合わせて活用することで、業務効率化、コスト削減、売り上げ向上を実現します。

ビジネスでのご利用シーン

  • スマホアプリ利用時の本人認証に
  • 自治体から住民への情報配信に
  • 料金滞納者に対する督促/請求のご案内に
  • 商品配送や訪問の事前連絡やリマインダーに
  • コンタクトセンター業務の効率化に
  • 重要性/必要性が高いメッセージをより確実に配信
  • ビデオを活用したお客さまサポート業務改善に
  • 自社の顧客に対するアンケートのご案内に

NTTコム オンラインが提供する安心のSMS送信サービス「空電プッシュ」の資料をダウンロード

※本記事はNTTコム オンライン・マーケティング・ソリューション株式会社提供によるスポンサード・コンテンツです。