本ページはアフィリエイト広告プログラムによる収益が発生しています。
「ワンタイムパスワードのデメリットって何?」
と調べている方に結論からお伝えすると、ワンタイムパスワードにはおもに以下3つのデメリットがあります。
・漏洩リスクがある
・フィッシング被害は防げない
・「めんどくさい」と感じるユーザーが多い
かつては、「ワンタイムパスワードは安全性が高い」と認識されていました。しかし近年増えているのは「ワンタイムパスワードのデメリットを狙った犯罪」です。
本記事では、ワンタイムパスワードの何が問題なのか、デメリットを詳しく解説します。
専門知識・コスト不要の効率的なサイバーセキュリティ対策ガイド
本記事のポイント
- ワンタイムパスワードのデメリットが明確になる
- 実際にどんな被害が起きているのかわかる
- ワンタイムパスワードに代わる認証方法も紹
「ワンタイムパスワードの弱点を知りたい」
「よりよい認証方法を検討したい」
…という方におすすめの内容となっています。
本記事をお読みいただくと、ワンタイムパスワードのリスクを理解したうえで扱えるようになりますし、代替の認証方法も把握できます。さっそく見ていきましょう。
ワンタイムパスワードが抱える3つのデメリット
冒頭でも触れたとおり、ワンタイムパスワードには3つのデメリットがあります。以下で詳しく解説します。
※ワンタイムパスワードの基本的な仕組みは「ワンタイムパスワード 仕組み」で解説しています。ワンタイムパスワードの概要を知りたい方は、先にこちらの記事をお読みください。
1-1. 漏えいリスクがある
1つめのデメリットは「漏えいリスクがある」です。
そもそもワンタイムパスワードとは、数十秒〜数分間以内の決められた一定の短時間しか使えない、使い捨てのパスワードのことです。
「漏えいしたところで、数分以内に使えなくなる」ことが、ワンタイムパスワードのメリットでした。
しかしながら近年では、パソコンやスマートフォンをウイルスに感染させてリアルタイムに情報を傍受し、メールやSMSに通知されたワンタイムパスワードを盗む事例が発生しています。
「ワンタイムパスワードだから安心」とはいいきれない状況になっているのです。
1-2.フィッシング被害は防げない
2つめのデメリットは「フィッシング被害は防げない」です。
先ほどの漏えいリスクに関して、
「パソコンに届くメールやSMSではなく、トークン(ワンタイムパスワード生成機)なら安全なのでは?」
と思うかもしれません。
しかし、近年多くの被害が確認されているのが、不正出金マルウェアに感染したパソコンやスマートフォンでの被害です。
マルウェアに感染した状態でログインしようとすると、正規の画面と区別がつかない巧妙な「偽物の画面(フィッシングサイト)」が表示されます。
偽物の画面上の案内で、トークンに表示されたワンタイムパスワードの入力が促されます。信じ込んだユーザーが入力する、という形でワンタイムパスワードが盗まれてしまうのです。
結果として「不正な口座にお金を振り込んでしまう」といった被害が出ています。
1-3. 「めんどくさい」と感じるユーザーが多い
ここまでセキュリティ面のデメリットを見てきましたが、3つめとして「めんどくさいと感じるユーザーが多い」というデメリットがあります。つまりユーザビリティ(使いやすさ)の問題です。
ワンタイムパスワードのような認証システムで大切なのは、「セキュリティ強度」と「ユーザーの使いやすさ」のバランスです。
ユーザーの手間を増やして認証プロセスを複雑にするほど、セキュリティ強度は高まりますが、ユーザーの利便性は下がります。
サービスを提供する企業サイドの視点から見れば、
「ユーザーにとって使いにくい → ユーザーが離脱する → 売上が上がらない」
となります。
ユーザーの視点から見れば、「やる意味のあるセキュリティ」なら手間をかける気になれますが、そうではない場合、ただただ面倒なだけです。
近年のGoogleサジェストワード(検索窓に表示される検索候補)では、ワンタイムパスワードに否定的な言葉が目立ちます。
▼ Google サジェストワードの例
- ワンタイムパスワード 意味ない
- ワンタイムパスワード めんどくさい
- ワンタイムパスワード うざい
- ワンタイムパスワード やめたい
ワンタイムパスワードを利用しても防げない被害が明らかになるにつれ、ワンタイムパスワードを敬遠するユーザー心理は加速すると考えられます。
上記のようにワンタイムパスワードを利用することで、不正アクセスを100%防御できるとは断言できません。
もし不正アクセスが発生した場合、事後調査や監査報告に利用できるログ管理が重要です。また、内部不正やテレワークにも対応できるため、セキュリティ対策の一環としておすすめです。ログ管理ツールを導入することで、セキュリティ対策をより強固にすることができます。
そんなログ管理について詳しく解説しているのが網屋のホワイトペーパーです。このホワイトペーパーでは無料でログ管理初心者向けに、ログがどのように活用できるのかを紹介していきます。
実際にワンタイムパスワードで起きている被害状況
次に、どんな被害が出ているのか具体的な状況を見ていきましょう。
2-1. インターネットバンキングの不正送金件数は2019年に急増
まず注目したいのが、インターネットバンキングの不正送金事犯の発生件数が、2019年(令和元年)に急増している点です。
国内のインターネットバンキングは基本的にワンタイムパスワードが必須化されていますので、これらはワンタイムパスワードを突破した被害といえます。
2017〜2018年にかけて減少していたにもかかわらず、2019年には前年比6倍近くに増えています。
2-2.特徴的な手口はフィッシングサイトと不正プログラム
不正送金の特徴的な手口として、警察庁が挙げているのが「フィッシングサイト」と「不正プログラム」です。
フィッシングサイトへの誘導
金融機関、宅配事業等を装った金融機関、宅配事業者等を装ったSMS等によって、フィッシングサイトへ誘導し、そこで窃取したID・パスワード等を用いて被害者の銀行口座等から不正に送金するものが多数確認されている。
不正プログラムの感染
コンピュータやスマートフォン等に感染した不正プログラム「Emotet」※ が、インターネットバンキングの情報窃取等を目的とした別の不正プログラムを、これらの感染した端末にダウンロードし、ID・パスワード等を窃取したと疑われるものが確認されている。
先ほどデメリットで解説したとおり、実際にフィッシングサイトや不正プログラムによって、ワンタイムパスワードのセキュリティが破られる被害が確認されていることがわかります。
※補足:「Emotet」は、メール添付ファイルなどの形式で拡大する不正プログラムです。
JPCERT/CCの情報によれば、「2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増」 とのことで、2022年以降も被害拡大が懸念されます。
ワンタイムパスワードのデメリットをカバーする2つの認証方法
ワンタイムパスワードが危険にさらされているいま、私たちはどんな対策をとるべきでしょうか。
ワンタイムパスワードのデメリットをカバーする認証システムとして、2つの方法をご紹介します。
3-1. 生体認証
1つめの方法は「生体認証」です。生体認証とは、個々人で異なる“身体的な特徴”を認証に利用する方法です。バイオメトリクス認証とも呼ばれます。
生体認証で使われる身体的な特徴の例を挙げましょう。
・指紋
・手の形
・手のひらや指の静脈
・声紋
・瞳の虹彩模様
・網膜の血管パターン
・目や口の位置
・顔の輪郭
たとえば、iPhoneのFace ID(顔認証)やTouch ID(指紋認証)は、生体認証の一種です。
▼ 顔認証のイメージ
生体認証のメリットは以下のとおりです。
▼ 生体認証のメリット
・偽造・複製が難しく盗難のリスクがない
・パスワードのようにユーザーが管理・入力する手間がない
現時点では「セキュリティ・ユーザビリティの両方で最も強い」といえるのが、生体認証です。
加えて、「生体認証は専門技術が必要なので、コストがかかる」という認識も、過去のものとなっています。
かつては、画像処理の記憶容量など技術的な問題や、コストとの兼ね合いで実用性が低かった生体認証ですが、低コストで簡単に生体認証を実現できるアプリケーションが登場しているためです。
一般企業のECサイトやWebサービスでも、低コストで顔認証や指紋認証を取り入れることが可能です。
詳しくは以下のリンクからご覧ください。
3-2. パズルキャプチャ
2つめの方法は「パズルキャプチャ」です。
パズルキャプチャのキャプチャは、Capture(取り込む)ではなく「CAPTCHA」です。
CAPTCHAとは、“Completely Automated Public Turing test to tell Computers and Humans Apart”の略。
Webサイトにアクセスしてきたユーザーが「本物の人間」なのか、人間の振りをしたコンピューターの「Bot(プログラム)」なのかを、コンピューターには判読できない文字や画像を使って識別する認証方法がCAPTCHAです。
たとえば、英数字に、ゆがませる・動かす・背景を入れるなどした画像を表示し、その英数字をユーザーに入力させます。
▼ CAPTCHAの例
上記のように、文字を読み取って入力するのはユーザーにとって手間ですが、より簡単に利用できるよう工夫したのが「パズルキャプチャ」です。
▼ パズルキャプチャの例
スマホならスワイプするだけ、パソコンならドラッグ&ドロップするだけで簡単です。
▼ パズルキャプチャのメリット
・ユーザーにとって使いやすいので離脱を防げる
・Botによる攻撃やなりすましログインを遮断できる
「生体認証を導入するほど、強固なセキュリティは必要ない」
「ユーザビリティを犠牲にしない範囲で、セキュリティを高めたい」
…という企業のニーズに合うのが、パズルキャプチャといえます。
詳しくは以下のリンクからご覧ください。
まとめ
本記事では「ワンタイムパスワード デメリット」をテーマに解説しました。最後に簡単なまとめです。
ワンタイムパスワードは以下3つのデメリットを抱えています。
・漏えいリスクがある
・フィッシング被害は防げない
・「めんどくさい」と感じるユーザーが多い
実際、ワンタイムパスワードを利用しているインターネットバンキングでも被害が拡大しており、近年は不正プログラム・フィッシングサイトを使った手口が横行しています。
ワンタイムパスワードのデメリットをカバーする2つの認証方法として、以下をご紹介しました。
・生体認証
・パズルキャプチャ
サイバー犯罪の手口は新しくなっていきます。ワンタイムパスワードのように過去評価されていた認証方法が、常にベストとは限りません。
同時に、セキュリティ対策のサービスも新しくなっています。コストを抑えながら高いセキュリティが実現できる時代です。そのよい例が「生体認証」といえます。「自社の予算では無理」と決めつけずに、幅広く検討してみてください。
