必ずしも「ワンタイムパスワード＝安全」ではない？：ここがヘンだよ、セキュリティの常識

安全なログイン手法の1つとして使われるようになってきたワンタイムパスワード。ユーザー自身が覚えているパスワードと合わせてニ要素認証すれば、なりすまし攻撃も撃退できるし、安心、ですよね？　え、違うの？

[吉村哲樹，ITmedia]

　「必勝法」――ああ、なんて甘美な響きなのでしょう！　株で必ずもうかる方法。必ずギャンブルで勝てる方法。絶対にモテる方法……必勝法なる言葉はいつの時代も世の中にあふれ返っていました。

　なぜ人類はそれほどまでに、「必ず勝てる方法」にこだわり続けてきたのでしょうか。よくよく考えてみれば、本当に勝てる方法があったらそもそも勝負自体が成り立たないから、あり得ないんですけどね、必勝法。

　でも左脳ではそう理解できていても、右脳では性懲りもなく必勝法を追い求め続ける我ら愚かな人類。セキュリティ対策もそうで、新しい対策技術が出てくると「これぞ決定版！」「これさえ入れれば、もう未来永劫安心！」みたいに思い込みがちなのですが、歴史に学べばこれまで一度たりともそんなことはなかったわけで……。

　そのことをいま一度、思い起こすために、今回は「ワンタイムパスワード」を取り上げてみたいと思います。いや、確かにセキュリティの専門家からすれば、「ワンタイムパスワードそのものは認証技術の一要素にしか過ぎず、必勝法とかそういう類のものではない」というところなのでしょうが、我らパンピーにとっては「ワンタイムパスワード」って何か、必殺技っぽい響きがするんすよね。テレビのプロレス中継で、アナウンサーが「決まったー！　ワンタイムパスワード！」って絶叫してるイメージ。

　実際のところ、いろいろなWebサービスでワンタイムパスワードが使われるようになってきましたよね。ユーザー認証時にユーザー自身が覚えていたパスワードを入力するだけではなく、その都度発行されるワンタイムパスワードも合わせて入力することで、本人確認を二重に行うと。いわゆる「ニ要素認証」というやつで、万が一パスワードが漏れていたとしても、なりすまし攻撃を防げるわけです。

　もちろん、これ自体は素晴らしい技術なのですが、残念ながら我らの必勝法への希求もむなしく、これを破らんとする攻撃手法も登場しているんですね。具体的には、ユーザーがPC上でワンタイムパスワードを入力するのを待ち構えていて、それを横取りして（！）不正ログインしてしまうという、「そこまでやるんか……」と言いたくなるような手口（MITB攻撃）です。

攻撃者によるインターネットバンキングの不正利用のイメージ図（IPAサイトより）

　このままだとニ要素認証では不十分だからといって、秘密の質問その1、その2……と、とにかく入力項目が増えてWebサイトのログインに半日ぐらいかかるようになって、「こんなのやってられるか！」と怒り狂った民衆がクギバットを手に世界中のデータセンターに殺到して、21世紀版ラッダイト運動の嵐が吹き荒れるかもしれません。

　ただ、まぁ、これまでのセキュリティ技術の歴史は、攻撃側と防御側の果てしないいたちごっこだったわけで、ワンタイムパスワードにしてもある意味「またか」ということでもあります。それに「必勝法の夢」が破れたからといって、ワンタイムパスワード自体の信頼性が揺らいだかというと、そういうことでは全くなくて、依然として強固な認証基盤を構成するための極めて重要かつ有効な技術の1つなわけです。

　というわけで、私たちが今できることは、安全そうな仕組みが使われているからといって無条件に信頼するのではなく、「そのセキュリティの仕組みは攻撃されている事例はないか？　あるとしたら何を気を付けるべきか？」ということをしっかり意識しながら利用する、ということなのです。