不正アクセスを防ぐ「ワンタイムパスワード」とは?利用シーンやSMSを使った発行方法まで解説

ワンタイムパスワードは、金融機関の二段階認証や決済時の本人確認などで利用されている「一度きりのパスワード」のことです。

本人以外の不正なアクセスを防げるほか、個人情報の流出などのリスク回避のためのセキュリティ対策として、積極的に企業や店舗で用いられています。

ワンタイムパスワードの発行方法は4つで、トークンという端末を使う方法・SMSを使う方法・メールを使って送信する方法・電話によって音声で発行する方法があります。

メッセージ到達率99.9%超のSMS送信サービス「Cuenote SMS」

「重要なお知らせを、安全かつ確実に届けたい」「アプリ利用者の本人確認を手軽に行いたい」「既存のサイトとAPI連携したい」という場合には、SMSを利用してワンタイムパスワードを発行・送信する方法がおすすめです。

本記事では、ワンタイムパスワードの特徴や、ワンタイムパスワードの発行方法について詳しく解説しています。 そのほかにも、利用目的や利用シーンも具体的に紹介しているので、自社へのワンタイムパスワード導入をイメージするための参考にしてみてください。

オフィスのネット回線が遅い要因と3つの対処法


ワンタイムパスワードとは不正アクセスを防ぐために活用する一度きりのパスワードのこと

ワンタイムパスワードは、サイトへの不正アクセスを防止するための仕組みです。

SMSを利用して、サイトにログインするためのパスワードを送り、二段階認証をします。 この時に発行される1回使い捨てのパスワードを「ワンタイムパスワード」と呼んでいます。

通常のユーザーが持っているIDとパスワードに加えて、一度だけ発行されるワンタイムパスワードをセキュリティ面で強い携帯電話にアプリやSMSを通じで送ることで本人確認を行います。

ワンタイムパスワードは一度利用したら無効になり、発行されたパスワードが有効になっていて使える時間はたいていの場合30秒前後と短い時間です。



ワンタイムパスワードを使う2つの目的

ワンタイムパスワードを使う目的は大きく分けて2つあり、それぞれの利用シーンと詳細を整理すると、下記の表のようになります。

利用目的利用シーン利用シーンの詳細
①情報漏洩などのリスクが高いサービスにおいて、より安全性を高める目的
  • ネットバンキングで1回きりのパスワードを発行
  • 店舗でWi-Fiを利用する際の本人認証
  • アクセス毎に、URLやパスワードを振り出すことにより、不正アクセスのリスク減少を期待できる。
  • Wi-fiにログインする前に、ワンタイムパスワードを使った認証を行い会員登録をする。
②ID発行や会員登録の場面で、登録者本人に確実に情報を届ける目的
  • スマホのゲームアプリの会員登録
  • 会員サイトのIDやパスワードを忘れた際に、本人確認
  • ホテルや新幹線などの「いたずら目的の空予約」の防止
パスワード/IDの発行・再発行のタイミングで、登録携帯電話番号宛にSMSで、再発行のワンタイムURLやパスワードを発行する。

ここからは、各目的とその利用シーンを詳しく紹介していきます。

目的1. 情報漏洩などのリスクを回避し、より安全性を高める【ネットバンキング・店舗のWi-Fi】

ワンタイムパスワードを使う目的のひとつは、個人情報を扱うような情報漏洩のリスクが高いサービスを提供するときに、安全性を高めて本人以外の人が不正にサイトにアクセスすることを防ぐためです。

アクセスするたびに、違ったパスワードを入力させることで不正アクセスのリスクを下げることができます。

もしワンタイムパスワードを他人に知られてしまっても、一度使ったワンタイムパスワードをもう一度使うことはできないのでログインはできず、安全性が向上します。

さらに、ワンタイムパスワードは使うことのできる期間がとても短いのも特徴です。多くの場合30秒程度の有効期間しかありません。

不正使用をしようと悪意のある人が考えても、30秒でパスワードを破ることは難しいので、時間的な余裕を与えないことも不正アクセスを防ぐ有効な対策となっています。

また、Wi-Fiにログインする前にワンタイムパスワードを使用して会員登録をするときにも用いられます。

ネットバンキングで1回きりのパスワードを発行

よく利用されるのは金融機関のサイトです。特にインターネットバンキングでの振込の際本人確認のために、IDとパスワードの認証と合わせて二段階認証を行うため、SMSから送られてくるワンタイムパスワードを使います。

最近ではショッピングサイトでクレジットカード決済を行う時や、仮想通貨取引所でも不正な引き出しを防止するために活用されています。

店舗でWi-Fiを利用する際の本人認証に利用

最近はカフェやレストラン、公共の場所やショッピングを楽しむ場所など、フリーWi-Fiが用意されているエリアが増えてきました。

店舗でWi-Fiを利用する際には簡単なアクセス登録が求められることがあります。その時に電話番号を入力して、ワンタイムパスワードを送ってもらい、それを用いてWi-Fiにログインする方法がとられます。

この場合も本人認証のためにワンタイムパスワードを使う一例です。

目的2. ID発行や会員登録をするときに、申請者本人であるか確認する【スマホゲーム・会員サイト】

ID発行や会員登録の場面で、登録者本人に確実に情報を届ける目的での利用 もうひとつのワンタイムパスワードの使用目的は、IDの発行や会員登録するときに、登録者本人に確実に情報を届けるために使います。

IDの発行や会員登録には電話番号を入力することが多いので、SMSを使ってワンタイムパスワードを送ることで、申請されている電話番号が本人の番号か、申請者本人が会員登録を行っているか、なりすましではないか確認しています。

スマホのゲームアプリで、会員登録に利用

スマホのゲームアプリの会員登録の際にもワンタイムパスワードを使うことがあります。 最近ではオンラインゲームのアカウントハッキングが増えてきていて、自分の知らないうちにゲームの中のキャラクターを操作されたり、ゲーム内で保有していた通貨やアイテムなどが盗まれるということがおきています。 そういった不正アクセスを防ぎ、自分の資産を守るためにログインのときにワンタイムパスワードが用いられます。

会員サイトのIDやパスワードを忘れた際に、本人確認のために利用

一度はみなさんも経験があると思いますが、会員サイトのIDやパスワードを忘れたときに、本人確認のためにあらかじめ登録しておいた携帯電話にワンタイムパスワードが送られます。

受け取ったワンタイムパスワードを使ってログインし、パスワードの再設定などを行います。

いたずら防止(ホテル予約したのに来ない、など)

最近はオンラインでホテルや新幹線などさまざまなものの予約が可能になりました。

インターネットで予約ができるのでとても便利になりましたが、予約はしても実際には利用しないという「いたずら」の予約が増えたのも事実です。

ホテルとしては、登録された情報だけでは、オンライン予約のどのお客様がいたずらか、そうでないかを確かめることができませんので、予約が入ればその分の部屋を確保しておく必要があります。

しかし当日になって、利用者がないということになれば、用意していた部屋は稼働せず、他の宿泊客もいないということになり収益が上がりません。

ですから、できるだけ「いたずら目的の空予約」を減らすために、会員登録の際、個人と結びついている携帯電話番を登録し、その番号にワンタイムパスワードを送付します。

それを受け取った本人はサイトにワンタイムパスワードを入力してから予約が可能になるような流れになっています。


ワンタイムパスワードの発行方法は大きく4つある

ワンタイムパスワードの発行方法は大きく分けると以下の4つになります。

  1. トークンを利用した発行
  2. SMSを使った発行
  3. メールを使った発行
  4. 電話を使った発行

ワンタイムパスワードの4つの発行方法についてそれぞれの方法の特徴や、メリット、デメリットを解説します。

1.トークンを利用した発行

トークンとはワンタイムパスワードを発行するためのキーホルダー型や、カードほどの大きさの端末を指します。

ほかにも、スマホやパソコンのアプリなどで発行することもあります。 トークンは、ワンタイムパスワードを発行するために難しい操作がいらないので、年配の方でも利用がしやすい方法です。

しかし、小さな端末を紛失する可能性や、盗難にあうこと可能性があります。紛失した場合には金融機関などに連絡してトークンの無効化や再発行の手続きが必要です。

別の不安要素としては、トークンは小さいですが機械なので電池で動いています。長期間使っていると電池が切れてしまう恐れもあります。

2.SMSを使った発行

スマホや携帯電話のSMS(ショートメール)を利用してワンタイムパスワードを発行する方法もあります。

SMSで受け取ったワンタイムパスワードをそのまま使うのでアプリをインストールするなどの手間はほとんどかかりません。

また、電話番号を使って配信されるので、メールアドレスのように変更されてしまい届かないというケースはかなり少ないです。

3.メールを使った発行

普段利用しているメールにワンタイムパスワードを送信する方法もあります。 ワンタイムパスワードを利用するサイトであらかじめメールアドレスを登録しておいて、ログインなどで必要になった時に送信されるという感じです。

メールの開封はたいてい誰でも行えるので使いやすい方法です。

しかし、GmailやYhooメールなどのフリーメールは、セキュリティ面でキャリアメールやプロバイダから発行されるメールより劣るので第三者にメール内容を盗み見される可能性があります。

できるだけワンタイムパスワードを受け取るメールアドレスは、キャリアメールかプロバイダのメールアドレスにしましょう。

4.電話を使った発行

電話による音声発行という方法もあります。サイトに登録しておいた電話番号に電話がかかってくることが利用サイトに表示されるので、それに同意したら電話がかかってきて音声でワンタイムパスワードを伝えてくれます。

電話を受けた利用者本人のみが使えるのでパスワードの流出がきわめて少ないといえます。メールやSMSとは違い文章で記録が残るわけではないので安全です。

電話がかかってきたときには、それほど長いパスワードではないのでそのまま頭に記憶するか、メモをとる必要があります。


SMSを使ったワンタイムパスワードの発行・送信にはSMS送信サービスが必須!

SMSを通してワンタイムパスワードを使うなら、SMS送信サービスを利用するのが一般的です。

SMS送信を扱っているビジネス向けに販売されているサービスは多くの種類があります。 サービスによって得意分野も変わって来るので自分のニーズに合ったサービスを利用しましょう。

ワンタイムパスワードを送信して、SMS認証を使いたいのであれば、API連携が可能なSMS送信サービスを選びましょう。

APIとは Application Programming Interface(アプリケーションプログラミングインターフェイス)の略です。これはソフトウェアの機能を共有する仕組みを指しています。

1つのアプリケーションが持っている機能をほかのプログラムからも利用できるようにしているということです。例えばGoogleMapsやYoutubeが外部のサイトに組み込まれているのを見ることがありますね。

それがAPIを利用して作っているサイトということです。 SMSでワンタイムパスワードを送るときにもAPIを使うことがほとんどです。

自社サイトで会員登録などを行うにはほとんどの場合自社のシステムにSMS送信のAPIを組み込む必要があるからです。

APIを提供しているSMS送信サービスを選ぶとhttps通信を使ってSMS送信リクエストを送ることができます。

ここで、自社が契約したAPIに、自社以外の第三者がアクセスできることがあってはなりません。

API 連携の認証方式について十分に確認しておきましょう。また、24時間365日稼働する自社システムと連携するAPIならば、API側も24時間365日の障害サポート体制が必要になります。

この点もよく確認しておきましょう。


まとめ

ワンタイムパスワードがどんなものか、その目的や使い方を知ることができました。

セキュリティを高くしたり、本人に大切なメッセージを伝えるためにも用いられています。

ワンタイムパスワードの発行の仕方は4つあって、その中でもサイトを運営するならSMSをつかった認証が使いやすいです。

サイトを利用する側も、サイトを作って管理する側もセキュリティをしっかり保って安心してやり取りするためにも、積極的にワンタイムパスワードを使うようにしてください!

メッセージ到達率99.9%超のSMS送信サービス「Cuenote SMS」