1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ワンタイムパスワード(OTP)とは?種類・メリット・注意点をわかりやすく解説

ワンタイムパスワード(OTP)とは?種類・メリット・注意点をわかりやすく解説

セキュリティニュース

投稿日時: 更新日時:

ワンタイムパスワード(OTP)とは?種類・メリット・注意点をわかりやすく解説

パスワードの使い回しや漏えいによる不正アクセス被害は、いまも後を絶ちません。こうした脅威に対抗する有効な手段のひとつがワンタイムパスワード(One-Time Password、以下OTP)です。一定時間または1回限りしか使えないパスワードを用いることで、仮に第三者に盗まれても再利用を防ぎ、セキュリティを大きく高められます。

OTPは、二要素認証(2FA多要素認証(MFAの中で所有物認証要素に分類されます。これは、ユーザーが所持する専用トークンやスマートフォンアプリなどを使ってコードを生成・受信し、認証時に利用するモデルです。この仕組みにより、パスワード(知識要素)だけに依存しない、より堅牢な認証が実現されます。

本記事では、OTPの基本的な仕組みや代表的な方式、それぞれのメリットと注意点を解説します。自社や利用サービスでの導入を検討する際の参考にしてください。

ワンタイムパスワード(OTP)とは

ワンタイムパスワード(OTP)とは、1回限り、または短時間のみ有効なパスワードのことを指します。通常のパスワードは同じ文字列を何度も使い続けますが、OTPであればその都度新しい文字列が発行され、使い終わると無効になります。これにより、パスワードが第三者に盗まれても再利用されるリスクを大幅に下げられます。

OTPは、二要素認証(2FA)や多要素認証(MFA)によく利用されます。例えば、通常のID・パスワードでログインした後、追加でOTPを入力する方式です。これにより、固定パスワードだけに依存する認証に比べて、不正アクセスの難易度が格段に高まります。

OTPが有効とされる理由は、その特性にあります。まず、有効期限が非常に短く、一般的には数十秒から数分程度で失効します。また、一度利用すると即座に無効となり、同じパスワードを再び使うことはできません。さらに、発行側と認証側が同期をとりながら生成・検証を行う仕組みになっており、不正に取得されたとしても利用できる機会はごく限られます。

こうした性質によって、漏えいしたパスワードを用いた不正ログインの成功率は大幅に低下します。証券口座の不正アクセス対策として、楽天証券をはじめ多くの金融機関やオンラインサービスで導入されるなど、ログインプロセスを強化する有効な手段として広く活用されています。

OTPの種類と仕組み

OTPには、主に時刻同期方式(TOTP)、チャレンジ&レスポンス方式、カウンタ同期方式(HOTP)、マトリクス方式の4つの方式があります。特に利用が多いのは時刻同期方式とチャレンジ&レスポンス方式です。それぞれの仕組みと特徴を見ていきましょう。

時刻同期方式(TOTP

現在の時刻をベースにパスワードを生成する、最も一般的な方式です。ユーザーが使うトークン(専用デバイスやスマートフォンアプリ)と認証サーバーは、時刻を基準に同じ計算式でパスワードを作るよう事前に設定されています。パスワードは30秒〜60秒ごとに自動更新され、有効期限が短い分、安全性が高いのが特徴です。金融機関やクラウドサービスなどで広く利用されており、銀行から貸し出されるハードウェアトークンや、Microsoft AuthenticatorGoogle Authenticatorのコードが代表例です。

チャレンジ&レスポンス方式

ユーザーと認証サーバーが課題(チャレンジ)と、その答え(レスポンス)をやり取りして認証する方式です。パスワードそのものを送らないため盗聴耐性が高く、金融機関や企業内システム、VPN接続、Windowsドメイン認証などで採用されています。

近年では、Microsoft Authenticatorの番号マッチ機能のように、サインイン画面に表示された2桁の数字をアプリに入力して照合する方式も登場しています。これは計算式を用いず、ランダムコードの一致を確認する形ですが、チャレンジ&レスポンスの原理を応用し、フィッシング耐性やユーザー体験を向上させています。

カウンタ同期方式(HOTP

パスワードの発行回数に応じて生成する方式です。トークン操作のたびにカウンタが1つ進み、その値を基に新しいパスワードが作られます。時刻同期が不要なため時計のズレを気にせず使えますが、カウンタのズレを補正する仕組みが必要です。古い世代の銀行トークンや一部の企業VPN・リモートアクセス認証で利用され、現在はTOTPに置き換わるケースも増えています。

マトリクス方式

数字や文字が並んだマトリクス表(乱数表)と、その位置情報を組み合わせてパスワードを生成します。位置は毎回異なり、入力するパスワードもその都度変化します。ネットバンキングなどで採用され、三菱UFJ銀行ではカード形式のマトリクス表が配布され、取引時に参照する方式があります。トークンやアプリが不要で、ブラウザだけで認証が完結する点が利点です。

OTP導入のメリットと注意点

OTPを導入することで得られる利点はいくつもあります。中でも特に重要なのは、パスワード漏えい時のリスク低減や不正アクセスの防止、フィッシング耐性の向上、そして法規制やガイドラインへの適合といった点です。以下では、それぞれのメリットについて詳しく見ていきます。

パスワード漏えいリスクの低減

固定パスワードの場合、一度漏えいしてしまうと長期間にわたり悪用される可能性があります。OTPは一度しか使えず、数十秒から数分で失効するため、仮に攻撃者が入手しても利用できる時間は極めて短く、再利用はほぼ不可能です。これにより、情報漏えい時の被害範囲を大幅に限定できます。特に、大規模サービスや重要情報を扱うシステムにおいては、この特性が被害抑止に直結します。

不正ログイン防止

ID・パスワードのみの認証は、総当たり攻撃やリスト型攻撃に弱く、不正アクセスのリスクが高まります。OTPを二要素認証(2FA)や多要素認証(MFA)の一要素として組み込むことで、攻撃者はパスワードに加えて有効期限内のOTPを入手する必要があり、突破の難易度が大幅に上がります。結果として、攻撃者の成功率を下げ、セキュリティ全体の耐性を高めることができます。

フィッシング耐性の向上

フィッシングサイト経由でパスワードを盗まれても、OTPは短時間で無効になるため、被害を防げる可能性が高まります。さらに、Microsoft Authenticatorの番号マッチのような仕組みでは、ユーザーが認証操作を実行していることを確認できるため、中間者攻撃への耐性も強化されます。こうした仕組みは、単なるID・パスワード認証よりも攻撃の成功を大きく抑止します。

規制・ガイドラインへの適合

金融や医療などの分野では、厳格な本人確認が求められる規制やガイドラインが存在します。例えば、日本のFISC安全対策基準では、オンライン取引時に多要素認証を推奨しており、多くのネットバンキングでは送金時にOTPやトランザクション認証を必須化しています(三菱UFJ銀行のワンタイムパスワードアプリなど)。医療分野でも医療情報システム安全管理ガイドライン(厚生労働省)において、電子カルテやオンライン資格確認システムへのアクセスに二要素認証を導入する例があります。さらに、PCI DSS(クレジットカード業界の国際セキュリティ基準)やISO/IEC 27001ISMS)などの国際基準でも、多要素認証の一要素としてOTPを採用することで適合性の証明が容易になります。

これらのメリットがある一方で、OTPにも弱点や運用上の課題があります。導入にあたっては、こうしたポイントを理解したうえで活用することが大切です。主な注意点は次のとおりです。

中間者攻撃への弱さ

OTPは有効期限が短く、通常のフィッシング対策には有効ですが、中間者攻撃(MitMMan-in-the-Middle)には弱い側面があります。中間者攻撃とは、攻撃者がユーザーと正規サービスの間に割り込み、やり取りされる情報をリアルタイムで傍受・改ざん・中継する手法です。この場合、ユーザーが入力したOTPが即座に正規サービスへ転送され、そのまま不正アクセスに利用されてしまう恐れがあります。

このリスクを軽減するには、Microsoft Authenticatorの番号マッチやFIDO認証、取引内容を含むトランザクション認証、フィッシング耐性を備えた多要素認証など、より高度な認証方式との併用が有効です。

利用者の負担

OTPを利用するには、認証アプリのインストールや初期設定、物理トークンの携帯などが必要になる場合があります。特に高齢者やITリテラシーが低い利用者にとっては、操作方法の習得や紛失時の再発行手続きが負担となることがあります。導入時には、利用者への教育やサポート体制を整備することが欠かせません。

SMSOTPのリスク

導入が容易なため多くのサービスで使われるSMS送信型OTPですが、SIMスワップ攻撃やSMS傍受のリスクがあります。攻撃者が通信事業者をだましてSIMカードを再発行させ、電話番号を乗っ取るケースは海外でも多く報告されています。高セキュリティ用途では、SMS型ではなくアプリ生成型やハードウェアトークン型の利用が推奨されます。

運用・管理コスト

OTPの導入は一度設定すれば終わりではありません。トークンの配布・回収、紛失や故障時の再発行、時刻やカウンタの同期管理など、継続的な運用コストが発生します。大規模組織ではこれらの作業が膨大になり、運用チームの負担やコスト増につながるため、導入前に運用フローや予算を含めた計画を立てる必要があります。

まとめ

ワンタイムパスワード(OTP)は、固定パスワードの弱点を補う有効な認証手段です。時刻同期方式やチャレンジ&レスポンス方式をはじめ、さまざまな方式があり、用途や環境に合わせた選択が可能です。短時間で失効する特性により、パスワード漏えいや不正アクセス、フィッシングなどのリスクを大幅に減らすことができます。

一方で、リアルタイム中継型フィッシングへの弱さや利用者負担、運用コストといった課題も存在します。

OTPは単独で万能な対策ではありませんが、二要素認証や多要素認証の一要素として活用すれば、セキュリティの強化に大きく貢献します。導入にあたっては、自社の利用環境や求められるセキュリティ水準を踏まえ、適切な方式と運用体制を選ぶことが重要です。

OTPの特性も十分に考慮しながら、安全で信頼性の高い認証環境の構築に取り組んでいきましょう。

関連記事

中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説 多要素認証(MFA)とは?メリットや必要性を解説多要素認証(MFA)とは?メリットや必要性を解説 多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA 著名セキュリティ研究者がMailchimpを装ったフィッシングメールの被害著名セキュリティ研究者がMailchimpを装ったフィッシングメールの被害 二要素認証とは 多要素認証との違いを解説二要素認証とは 多要素認証との違いを解説 サイバー攻撃とは? 意味や種類、対策などを解説サイバー攻撃とは? 意味や種類、対策などを解説 フィッシングメールとは 概要や手口を解説フィッシングメールとは 概要や手口を解説 カンタス航空、コールセンター経由のサイバー攻撃で最大600万人の個人情報に影響カンタス航空、コールセンター経由のサイバー攻撃で最大600万人の個人情報に影響 SonicWall SMA 100シリーズに深刻な脆弱性-認証済みリモートコード実行の恐れ(CVE-2025-40599)SonicWall SMA 100シリーズに深刻な脆弱性-認証済みリモートコード実行の恐れ(CVE-2025-40599)