2012年11月9日8:22
フィッシング等によるパスワードの盗難・漏えいなどによる被害を防止する有効な手段としてワンタイムパスワードの活用が行われている。ワンタイムパスワードは、自動的に生成される1回限り有効な使い捨てパスワードである。ユーザーが従来設定しているパスワードと組み合わせて使用することにより、強固なセキュリティ認証を実現することが可能だ。
Yahoo! JAPANを運営するヤフーは、2012年8月から、Yahoo! JAPAN IDの不正利用対策の新たな認証機能として、ワンタイムパスワードの導入を開始した。
また、毎回異なる推測不能なパスワードを事前に登録されたメールアドレス宛てに発行するため、パスワードを忘れたり、第三者に知られたりするといった心配がないという。利用者は、無料で任意に利用可能となっており、利用設定すると従来のID・パスワードでの認証成功後にワンタイムパスワードを入力し認証を行う。同社では、今後スマートフォンアプリ版のワンタイムパスワードも提供していく予定だ。
また、日本オンラインゲーム協会(JOGA)では、第三者のハッキング行為によるユーザーアカウントの不正取得、犯罪行為およびハッキングトラブル時の適切なユーザー対応を行うため、iPhone、Android搭載端末などのスマートフォンや携帯電話で個人認証ができる「ワンタイムパスワードシステム」を準会員のサードネットワークスと連携し、独自開発した。
同システムは、本人確認が難しいインターネットサービスにおける個人認証時に、携帯電話やスマートフォンの個人の番号に紐づいて、1回限り利用可能なパスワードを発行する。これにより、パスワード盗用などによる第三者の成りすましを防止することが可能だ。利用者はアプリをダウンロードすることでワンタイムパスワードを利用できる。携帯電話やスマートフォンでパスワードの認証が行えるため、比較的低コストでオンラインゲーム各社が導入できるようになっているそうだ。
今後は、クレジットカード等の番号を動的に利用することで、ペイメントカードの不正利用を防止するソリューションの増加も期待される。例えば、ジャパンネット銀行では、1回限りの使い切りカード番号である「ワンタイムデビット(JNB カードレスVisa デビット)」の利用を呼び掛けている。
これは、ユーザーがインターネットショッピングを利用するときに、その都度16ケタのカード番号の発行手続を行う。カード番号は一度利用すると同一のECサイトを除き再利用できない仕組みだ。ユーザーは、カード番号を同時に4つまで保有でき、カード番号発行日から10日間を経過すると同一のECサイトでも利用できなくなるのが特徴だ。また、カードの裏面などに表示されるセキュリティコードもあわせて発行しており、セキュリティを強化している。同サービスでは、1回限りの使い切りの番号を使用しているため、仮に第三者に情報を盗み取られたとしても、次に電文が飛んできたときに拒否回答を行うことが可能であり、現状、第三者不正利用は確認されていないという。
海外でも動的な認証でペイメントカードの不正利用を防止する動きが出てきている。例えば、インドでは携帯番号を登録しておくと、EC決済の際に合成音声でパスワードを通知し、利用者はその番号を聞き取ってパスワードを入力するソリューションを提供されている。また、MasterCardと台湾の永豐銀行は、ディスプレイ・カードを台湾で提供開始しているように、インタラクティブなカードの導入も期待される。
世界的に見ても、ディスプレイ・カードやスマートフォンを活用したワンタイムパスワードに注目が集まっており、国内でも動的認証が広がる可能性は今後十分にあるだろう。
なお、ペイメントカード・セキュリティフォーラムでは、ヤフーと日本オンラインゲーム協会の講演が行われる。
■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラム
https://paymentnavi.com/paymentnews/26190.html
