スマートフォン版に切り替える

ワンタイムパスワードとは?SMSを利用したパスワード通知について

2020/12/4 更新

SMSを一斉送信する方法

WEBサービスやアプリでの新規登録時、情報変更時、入金手続きなどを行う際、通常のIDとパスワードに加え、ワンタイムパスワードを追加することで、セキュリティを高めた利用ができるようにしている企業が増えています。
セキュリティ強化になぜワンタイムパスワードが利用されてるのか、ワンタイムパスワードの仕組み、ワンタイムパスワードをユーザーに伝える手段として目にすることが増えたSMSでの通知についてご紹介します。
※SMS(ショートメール)とは携帯電話番号を宛先としてメッセージを送ることが出来るサービスです。

目次

ワンタイムパスワードって何?

なぜワンタイムパスワードが必要なの?

ワンタイムパスワードの利用シーン

ワンタイムパスワードの仕組み

ワンタイムパスワードの通知方法

SMSを利用したワンタイムパスワード

SMSでワンタイムパスワードを送信するには

ワンタイムパスワードって何?

ワンタイムパスワードは「1度しか使えない使い捨てのパスワード」です。
※1度利用したパスワードは再度利用することはできません。

なぜワンタイムパスワードが必要なの?

なぜワンタイムパスワードが必要なのでしょうか。
メリットとしてセキュリティが向上することがあげられます。

これまでは固定のIDとパスワードでサービスにログインするのが一般的でした。
しかし、IDとパスワードが流失してしまった場合、 不正ログインされてしまう危険性がありました。

そこでログイン時にワンタイムパスワードの認証を追加してセキュリティを向上させます。
固定のIDとパスワードが流出してしまった場合でも、ワンタイムパスワードがなければサービスにログインできなくなり、不正ログインを防止することができるのです。
また、ワンタイムパスワードが漏れてしまった場合でも、認証の度にパスワードが変わるため、悪意のある第3者が利用しようとしてもそのパスワードを利用することはできません。

金融機関での導入が進んでいますが、現在では電子決済、オンラインショッピングやゲームなど様々なサービスの登録内容を変更する際に使われているので、目にした方は多いのではないでしょうか。

ワンタイムパスワードの利用シーン

では実際にワンタイムパスワードはどのような場面で利用されているのでしょうか。 利用例をご紹介します。

・インターネットバンキング利用時
・会員登録時の本人確認として
・ID、パスワード忘れ、登録内容変更時

個人情報を取り扱うようなサービスの利用時に 登録者本人であることを確認し、確実に登録者に情報を届けるためなどに利用されます。
アクセスする度、利用する度に異なるパスワードの入力を求めるようにすることで
万が一、ID、パスワード情報が漏洩してしまった場合でも本人以外がサイトにアクセスすることはできないため、不正利用のリスクを低減できます。

ワンタイムパスワードの仕組み

ワンタイムパスワードで利用されている代表的な仕組みには

 ・チャレンジレスポンス方式
 ・タイムスタンプ方式

の2種類があります。

●チャレンジレスポンス方式

ログインごとにパスワードが変わります。

チャレンジレスポンス方式とは
ユーザーが認証ページにアクセスすると認証サーバーから文字例(チャレンジ)を送信します。
ユーザー側は指定された計算をおこないレスポンスをサーバーに返します。
認証サーバーは送られたレスポンスをもとに認証をおこないます。

毎回異なるチャレンジを送ることで、レスポンスも異なるため
ワンタイムパスワードとして利用することができます。

チャレンジレスポンス方式の認証

●タイムスタンプ方式(時刻同期)

一定時間ごとにパスワードが変わります。
ハードウェアトークン、ソフトウェアトークンはこちらに分類されます。
※カード、キーホルダーのような形をしたものにパスワードを表示する液晶がつきた機器になります。

ユーザーに配布した小型のデバイスにワンタイムパスワードを表示させ、本人認証をおこないます。
認証サーバーはどのユーザーがどのトークンを利用していて、時刻ごとにどのような数字が表示されるかの情報を持っており、
その情報をもとに認証をします。

注意点としてトークンと認証サーバーと時間がずれている場合は認証されないため、時刻を同期させる必要があります。

タイムスタンプ方式(時刻同期の認証

ワンタイムパスワードの通知方法

ワンタイムパスワードの通知方法には以下のような方法があります。

●ハードウェアトークン

専用のデバイス(機器)にワンタイムパスワードが表示されます。
金融機関などのオンラインバンキングでよく使われている方法です。

●ソフトウェアトークン

スマートフォンのアプリにワンタイムパスワードを表示する方法です。
トークンのように専用のデバイスを使わずに、手元のスマートフォンを利用できます。

●メール

登録したメールアドレス宛にワンタイムパスワードを送信する方法です。
フリーメールアドレスを宛先に利用している場合、盗み見られる可能性もあるため、 フリーアドレスではない信頼できるメールアドレスを利用すると安心です。

●SMS(ショートメール)

登録された携帯電話番号宛にワンタイムパスワードを送信する方法です。

SMS(ショートメール)を利用したワンタイムパスワード

登録された携帯電話番号宛にワンタイムパスワードを送信する方法です。
実際の携帯電話番号宛に届くのでメールよりもセキュリティが高く、本人確認で用いられることが多いです。

SMSを通知に利用するメリットとして

・携帯電話1台につき電話番号はひとつであるため、本人に確実にメッセージ(認証コード)を送れる
・端末に標準的に搭載されている機能のため、電話やメールのように誰でも使える

があります。

メールを利用した通知方法もありますが、メールの情報が漏れてしまった場合は不正利用される危険性があります。
メールはPC、スマホなどの携帯端末のどちらからでも利用でき便利ですが、利用には注意が必要です。

SMSでワンタイムパスワードを送る

SMS(ショートメール)でワンタイムパスワードを送信するには

SMSでワンタイムパスワードを送信するためには、API連携が可能なSMS送信サービスを選ぶようにしましょう。

APIを利用すると自社のシステムにSMS送信機能を組み込むことができます。
ただAPI連携可能なSMSサービスの中にはワンタイムパスワードの機能がついていないものもあるため、契約前によく確認しておく必要があります。

●SMS配信サービス「fonfunSMS」のご紹介

SMS配信サービス「fonfunSMS」ではAPI送信の機能のひとつとして、ワンタイムパスワード発行してSMSを送信する機能を提供しています。
パスワード生成や認証機能を別途開発することなく、素早くSMS認証を実装することができます。

fonfunSMSは導入前にAPI接続によるSMS送信テストが可能です。
試してみたい方はお気軽にお問合せください。
APIに関する資料やテスト送信に関して電話、メール、WEB会議でのご説明を承っております。

APIでのSMS送信にご興味がりましたら、ぜひ「fonfunSMS」にお気軽にご相談ください!
API設定に関する資料、料金、他社での導入事例など、
電話、メール、WEB会議でのご説明を承っております。

電話:03-6300-0157 【受付】平日10:00~18:00(年末年始を除く)

SMSによる集客、マーケティング、連絡に少しでも興味を持っていただけましたら、下記までお気軽にご相談ください。
お客様に合わせた活用方法等、業種別の利用例等を電話、メール、WEB会議にてご説明させていただきます。

お気軽にご連絡ください!

電話:03-6300-0157 【受付】平日10:00~18:00(年末年始を除く)

さまざまな業界でSMS連絡が効果を発揮しています!

「fonfunSMS」は営業支援・お客様への連絡ツールとして
900社以上の企業様に採用いただきました。