編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
しのびよるネットバンキング被害

金融機関が検討すべきセキュリティ対策とは--トークン化を利用される(前編) - (page 2)

相原敬雄

2015-04-28 07:00

10キー付きのワンタイムパスワード生成トークン

 10キー付きのワンタイムパスワード生成トークンは、電卓のように0から9までの数字を入力するボタンと、その他の機能ボタンがある高機能なワンタイムパスワード生成トークンである。このトークンの最大の特徴は本体に暗証番号を設定できることである。暗証番号はトークン所有者本人が設定できるので、置き忘れた場合にも第三者による不正利用が困難になる。つまり、この種のトークンは本体だけで二要素認証(持っている物=トークン本体、知っていること=設定した暗証番号)を行えるのである。

 各ボタンには異なる機能を割り当てることができる。例えば、ボタン1にはログイン用ワンタイムパスワード、ボタン2には取引用ワンタイムパスワード、ボタン3にはトランザクション署名など、別のワンタイムパスワード生成機能を割り当てられる。また、これらのワンタイムパスワードを生成するシード(鍵)を分けることにより、用途別のワンタイムパスワードは独立した認証の仕組みとなる。


10キー付きワンタイムパスワード生成トークンの例(Ezio Pico)

 10キー付きのワンタイムパスワードを利用すると上記で解説した2つのワンタイムパスワードを利用した攻撃も回避できる。各ボタンが前述のように設定されているという条件で、先ほどと同じ手口の攻撃を本トークンではどのように回避するかを解説する。

  1. 攻撃者は、ユーザーがログインした際にそのワンタイムパスワードを利用してユーザーの口座にログインする
  2. ユーザーに対してはログインが失敗したというメッセージを出し、もう1回ワンタイムパスワードの入力を求める
  3. ユーザーは入力ミスしたのであろうと思い、2個目のログイン用ワンタイムパスワードを入力する
  4. 攻撃者が入手した2個目のワンタイムパスワードはログイン用であり、送金用には利用できないので不正送金は行えない

 利用する用途別にワンタイムパスワードの機能を分け、個別のシードにより完全に分離したセキュリティの仕組みを確立しているので、高い安全性を確保することができる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]