ワンタイムパスワード（OTP）とは？ 仕組み・受け取り方法・導入時の注意点を整理

ワンタイムパスワード（OTP）は、一度だけ、または短時間だけ有効な使い捨てコードです。固定パスワードが漏れても、その情報だけではログインを成立させにくくできるため、クラウドサービス、社外アクセス、管理者アカウントの保護で広く使われています。

ただし、OTPを追加しただけで安全が完成するわけではありません。OTPにも弱点があり、特にフィッシング詐欺に対しては、入力させられたコードをその場で悪用される余地があります。運用では、方式選定だけでなく、初期登録、端末紛失時の復旧、試行回数制限、監視まで含めて設計する必要があります。

• 適している場面：固定パスワードだけに依存したくない、管理者アカウントや社外アクセスを補強したい、段階的に認証強化を進めたい場合
• 注意が要る場面：復旧手順が未整備、フィッシング対策を別に持たない、メールやSMSだけへ過度に依存する場合

ワンタイムパスワード（OTP）とは

ワンタイムパスワード（One-Time Password：OTP）とは、使い回しできない一時的なコードで本人確認を補う仕組みです。一般的には、IDと固定パスワードに追加して使い、固定パスワードだけではログインを完了させない構成にします。

この考え方の利点は、固定パスワードが漏れた場合でも、追加の条件がなければ不正ログインを成立させにくくなる点です。特に、パスワードリスト攻撃や漏えい済み認証情報の使い回しに対しては、パスワード単独認証より突破されにくくなります。

なぜOTPが使われるのか

固定パスワードが破られる経路は、総当たりだけではありません。実際の侵害では、偽サイトへの入力、他サービスからの漏えい情報の悪用、マルウェアによる認証情報の窃取などが重なります。

• フィッシングで入力させられ、正規サービスへ不正ログインされる
• 別サービスの漏えい情報が使い回され、同じ組み合わせで突破される
• 端末侵害や情報窃取で認証情報が抜き取られる

OTPの役割は、こうした経路のうち「固定パスワードだけで成立する攻撃」を成立しにくくすることです。ただし、OTPにも苦手な攻撃があるため、導入だけで安全性を言い切ることはできません。

OTPの仕組み

OTPでは、サーバーと利用者側が、同じ前提から同じコードを生成するか、またはサーバー側が正当なコードかどうかを検証します。多くの方式は、事前に共有した秘密情報を基にコードを生成します。

HOTPとTOTP

代表的な方式は、HOTPとTOTPです。違いは、何を変数としてコードを変化させるかにあります。

HOTP

HOTPは、サーバーと利用者側で共有したカウンター値を使ってコードを変える方式です。ボタンを押すごとに次のコードが出るタイプのトークンは、この考え方で説明しやすくなります。

時刻に依存しない一方で、利用者側とサーバー側のカウンターずれをどう吸収するかが運用上の論点になります。押し過ぎや未同期に備えた検証窓を持たせる設計がよく使われます。

TOTP

TOTPは、現在時刻を一定間隔に区切った値を使ってコードを生成する方式です。認証アプリで30秒ごとにコードが変わる形式は、この方式が典型です。

時刻同期を前提にするため、端末の時計が大きくずれると失敗しやすくなります。そのため、サーバー側では一定の時刻ずれを吸収する検証窓を持つ実装が一般的です。

チャレンジレスポンス方式

チャレンジレスポンスでは、サーバーが提示する値に対して利用者側がレスポンスを生成し、サーバーが正当性を確認します。ログインごとに条件が変わるため、設計次第で再送攻撃に強くできます。

ただし、一般的な6桁コード型のOTPより実装や運用が複雑になりやすく、金融系や専用システムなど、要件が明確な場面で使われることが多くなります。

OTPの安全性を左右する前提

OTPの安全性は、コードそのものより、コード生成に使う秘密情報が守られていることに支えられています。設計では、少なくとも次の点を外せません。

• 秘密情報が登録時・保存時・バックアップ時に漏れないこと
• サーバー側で時刻ずれやカウンターずれを適切に扱うこと
• 試行回数制限やレート制限で総当たりを成立させないこと

受け取り方法と特徴

OTPは、どの方法で生成・受領するかによって、利便性とリスクが変わります。企業利用で比較されやすい代表例を整理します。

ハードウェアトークン

専用機器がコードを生成・表示し、利用者が入力する方式です。スマホの持ち込みを前提にしない環境では使いやすい一方、紛失、盗難、故障時の無効化と再発行の手順が要ります。

認証アプリ

スマートフォン上の認証アプリがOTPを生成する方式です。配布物が不要で導入しやすく、TOTPの代表的な実装として広く使われています。

ただし、端末の紛失、故障、機種変更、初期化は必ず起きます。再登録を業務停止にしないための復旧設計がなければ、利便性はすぐに下がります。

メール通知

登録済みメールアドレスへコードを送る方式です。手軽ですが、メールアカウントが侵害されていれば、OTPを追加しても防御効果は大きく下がります。配送遅延や迷惑メール判定も、業務利用では無視しにくい問題です。

SMS認証

SMS認証は広く使われていますが、リアルタイムの入力誘導に弱く、転送設定や番号再発行を巡る論点もあります。重要度が高い用途では、認証アプリやFIDO2のような別方式も比較対象に入ります。

OTPのメリット

固定パスワード漏えい時の即時突破を防ぎやすい

OTPを追加すると、固定パスワードが漏れても、それだけではログインを完了させにくくなります。特に、漏えい済み認証情報の再利用に対しては、一定の抑止効果があります。

二要素認証・多要素認証の構成要素として使いやすい

固定パスワードに対し、別経路で受け取るOTPを組み合わせると、二要素認証や多要素認証の構成にしやすくなります。特に、管理者アカウント、社外アクセス、重要データに触れるシステムの補強で効果が出やすくなります。

段階導入しやすい

全利用者を同時に切り替えなくても、まずは高リスクのアカウントから適用し、順次対象を広げる進め方が取りやすくなります。認証強化の入口としては扱いやすい方式です。

OTPのデメリットと限界

ログインの手間が増える

利用者はコード確認や入力を追加で行うため、利便性は下がりやすくなります。ログイン頻度が高い業務では、再認証間隔やリスクに応じた要求条件を調整しないと、現場の負担が大きくなります。

端末紛失や機種変更でログインできなくなる

OTPは手元のデバイスが使えることを前提にしやすいため、紛失や故障が起きると業務停止につながります。復旧を例外扱いせず、日常イベントとして設計へ入れる必要があります。

フィッシングに弱い場面がある

OTPは使い捨てでも、偽サイトへ入力させられれば、その場で攻撃者が正規サイトへ中継して悪用できる場合があります。つまり、OTPは固定パスワード単独よりは強いものの、フィッシング耐性そのものを保証する方式ではありません。

企業で導入するときの設計ポイント

方式選定は強度だけで決めない

メールやSMSは手軽ですが、前提となるメールアカウントや電話番号の保護が弱いと意味が薄れます。一方で、認証アプリは比較的強化しやすい反面、復旧設計が弱いと現場が止まります。自社の端末管理、ヘルプデスク体制、復旧フローと合わせて選ぶ必要があります。

初期登録時の本人確認を軽く見ない

攻撃者が先にOTPを登録できてしまえば、その後の認証強化は崩れます。登録時にどの情報で本人確認するか、登録後に通知や監査ログをどう残すかまで決めておく必要があります。

復旧手順を先に決める

端末紛失や故障は、例外ではなく前提です。少なくとも、再登録の受付条件、暫定アクセスの期限と権限、ヘルプデスクの対応範囲は定義しておく方が安全です。ここが弱いと、共有OTPや恒久例外が増えやすくなります。

重要アカウントから優先適用する

最初に効果が出やすいのは、管理者アカウント、リモートアクセス、重要データに触れる業務システムなど、突破時の影響が大きい入口です。すべてへ一律適用するより、優先順位を付けた方が導入しやすくなります。

試行回数制限と監視を合わせて設計する

OTPは短いコードを使うことが多いため、無制限に試せる状態では総当たりの余地が残ります。失敗回数制限、レート制限、追加確認、異常試行の検知と通知をそろえて、初めて実効性が出ます。

フィッシング対策は別レイヤーでも持つ

OTPを導入しても、フィッシング対策を別に持たなければ、入力させられたコードを悪用される余地があります。利用者教育だけでなく、ログイン通知、異常検知、リスクベースの追加認証、必要に応じたより耐性の高い方式の採用も視野に入ります。

まとめ

• OTPは、一度だけ、または短時間だけ有効なコードで、固定パスワードだけではログインを成立させにくくする仕組みです。
• HOTP、TOTP、チャレンジレスポンスなど方式があり、受け取り方法ごとに利便性と弱点が異なります。
• パスワード単独認証よりは強化しやすい一方、フィッシング、端末紛失、復旧運用には別の設計が要ります。
• 企業導入では、初期登録、復旧、試行回数制限、監視、優先適用範囲まで決めておく必要があります。

よくある質問