ワンタイムパスワード

携帯電話を認証デバイスとして利用し、取引に連動したOTP（ワンタイムパスワード）の仕組みを取り入れた、2要素認証システムです。

インターネット利用者が増加の一途を辿る中、インターネットバンキングやオンライントレード、 ネットショッピングなどインターネット上で取引をする機会が多くなってきています。利用者にとって利便性が向上する反面、悪意ある者が脆弱性や人間の心理を巧みに利用し、 あらゆる手段を講じて攻撃する機会を狙っています。

インターネット上の取引を提供する企業は、利用者を脅威から保護し、セキュリティの維持に努めることが求められています。本人認証のセキュリティ強化もそのひとつです。

しかし、本人認証を脅かす攻撃手法はキーロガーによるキーボード入力の盗聴や、 フィッシングメールによる偽サーバへの誘導に留まらず、巧妙化しつつあります。（図1）

図1　巧妙化するフィッシング攻撃手法

さらに最近では、サイレント・バンカーなどの通信を乗っ取るウイルスやメモリハッキングによる、 リアルタイム・マン・イン・ザ・ミドル攻撃が問題視されています。

例えば、インターネットバンキングで振込する際に、利用者が気付かないうちに振込先を改ざんされ、 振込金をだまし取られるという被害が発生しています。このような状況の中、本人認証に対する強固なセキュリティが求められています。

ケータイOTPはパソコンでのインターネット取引の安全性を向上させます。

※インターネットバンキング、ネットトレード、オンラインショッピングなど

利用者が持っているケータイにソフトウェアトークンをダウンロードしていただくことで、 ハードウェアトークンのようなトークン配布・管理コストを削減することが可能です。また、利用者にとっても日常生活にかかせないケータイがそのまま認証デバイスになるため、 紛失する可能性も低く、余分な機器を持つ必要もありません。

ケータイ電波が届く場所はもちろん、海外や地下のような電波の届かない場所でもＯＴＰを確実に取得できるようにＱＲコードを使用したＯＴＰ取得も可能です。

HTTPS上でケータイアプリが保持する情報(最大1024ビット)による認証をしています。通信経路（携帯電話網）はＳＳＬで暗号化されています。（図２）

図２　ダウンロード方式の流れ

ケータイとサーバで共通鍵をそれぞれ保持しており、サーバで暗号化されたＯＴＰをＱＲコード化し、利用者のパソコンに送信します。利用者は受け取ったＯＴＰを共通鍵（ＡＥＳ暗号２５６ビット）を使用して復号化します。（図３）

図３　ＱＲコード方式の流れ

ケータイOTPは、取引に結びつけたOTPを発行するこれまでにない認証方式を採用しました。

利用者パソコンからの取引要求に応じてOTPをサーバ側で発行し、利用者に送信します。これにより、リアルタイム・マン・イン・ザ・ミドル攻撃でOTPが盗まれ、取引内容を改ざんされたとしても、サーバ側で、取引内容と送信されてきたOTPの組み合わせがアンマッチと判定され、取引は執行されません。（図４）

成りすましを無効化する取引認証の安全性がケータイOTPの特長のひとつです。

ケータイOTPの導入～サービス開始までは、おおよそ以下の手順に従って構築作業をする必要があります。

認証デバイスとしてご契約いただく携帯電話ごとに１ライセンスが必要です。
サーバ側のライセンスはいただいておりません。

※最小ライセンス数は10,000ライセンスです。

※年額を一括でお支払いいただきます。

※サーバ側エンジン費用、サポート費用を含みます。

※1,000ライセンス単位のご購入となります

• 既存インターネット取引システム　アプリケーション変更費用

  • ログイン時のOTP呼び出し （ログイン認証に本製品を適用する場合）
  • 取引内容執行前OTP呼び出し（取引認証に本製品を適用する場合）
  • 利用者ID等OTPとの情報連携
• ケータイ用アプリダウンロードサイト／OTP取得用サイト等　開発費用

• au（BREW）コンテンツプロバイダー（CP）契約
• Softbank（Ｓ!アプリ）コンテンツアグリゲータとの契約
• 事務処理系などの準備・運用費用