ITパスポート 2015年 秋期 問55
問題文
ワンタイムパスワードに関する記述中のa, bに入れる字句の適切な組合せはどれか。利用者は、トークンと呼ばれる装置などを用いて生成された[ a ]のパスワードを使って認証を受ける。このパスワードをワンタイムパスワードと呼び、これを利用することで、パスワードの漏えいによる[ b ]のリスクを低減することができる。

選択肢
ア:
イ:
ウ:
エ:(正解)
🔒 解説は解答すると表示されます
ワンタイムパスワードに関する記述【ITパスポート 解説】
正解の理由
問題文は「トークンと呼ばれる装置などを用いて生成された [ a ] のパスワード」を使うとあります。トークン(認証に使う小さな機器やアプリ)は毎回異なるパスワードを作る仕組みが典型です。これは「使い捨て(1回限り)」のパスワードを意味します。さらにワンタイムパスワード(OTP:One-Time Password、1回限りで使うパスワード)を使う目的は、パスワードが漏れたときにその漏えい情報で他人が不正にアクセスする「なりすまし(他人になりすましてアクセスすること)」のリスクを下げることです。したがって、a は「使い捨て」、b は「なりすまし」を示す選択肢、すなわち選択肢のエが正しい理由です。
解法ステップ
- 問題文を読む:トークンで生成されたパスワードとある → トークンは「一時的なコード」を出す装置・アプリである点を思い出す。
- a に当てはめる語を決める:トークンで生成されるものは「固定(ずっと同じ)」ではなく「使い捨て(毎回変わる)」 → a = 使い捨て。
- ワンタイムパスワードの目的を確認:漏えいしても同じパスワードが使えないようにして「なりすまし」を防ぐ → b = なりすまし。
- 表の選択肢と照合:a = 使い捨て、b = なりすまし の組合せがある行を選ぶ → エ。
選択肢別の誤答解説
-
ア(a: 固定 / b: DoS 攻撃)
誤り。トークンは固定パスワードを出しません。固定パスワードは一般的にトークンとは無関係です。また、DoS(Denial of Service:サービス妨害)はサービス停止の攻撃で、ワンタイムパスワードの導入で主に低減できるリスクではありません。 -
イ(a: 固定 / b: なりすまし)
誤り。b の「なりすまし」は正しい目的だが、a が「固定」だとトークンの説明と矛盾します。トークンが作るのは固定ではなく毎回変わる値です。 -
ウ(a: 使い捨て / b: DoS 攻撃)
一部正しいが誤り。a は正しく「使い捨て」だが、b が「DoS攻撃」ではないため誤答です。ワンタイムパスワードが主に軽減するのは不正ログイン(なりすまし)のリスクです。 -
エ(a: 使い捨て / b: なりすまし)
正しい。トークンで生成される一回限りのパスワード(ワンタイムパスワード)により、漏えいしたパスワードで第三者が同じ認証情報を再利用して行う「なりすまし」を防止できます。
よくある誤解
-
「ワンタイムパスワードはすべての攻撃を防ぐ」
誤解。OTP はパスワード漏えいによる不正ログイン(なりすまし)を減らせますが、フィッシング(騙してOTPを入力させる)やSIMスワップ(携帯番号を乗っ取る)には対策が必要です。 -
「ワンタイムパスワード = 多要素認証(MFA)」
部分的に正しいが混同は危険。ワンタイムパスワード自体は“知識(覚えているもの)”の代替になる場合があり、単独だと単要素になります。多要素認証(MFA:Multi-Factor Authentication、複数の異なる認証要素を用いること)にするには、OTP に加えて別の要素(例:パスワード+OTP、あるいは生体認証)を組み合わせます。 -
「トークン=必ずハードウェア」
誤解。トークンは物理的な小さな機器(ハードトークン)もありますが、スマホアプリ(ソフトトークン)で同じ仕組みを実現することも多いです。
補足コラム
- OTP の種類
- TOTP(Time-based One-Time Password:時刻同期型)
時間でコードが変わるタイプ。例:30秒ごとに新しい6桁コード。 - HOTP(HMAC-based One-Time Password:カウント同期型)
認証イベントごと(例:ボタンを押す)にカウントが進みコードが変わるタイプ。
- TOTP(Time-based One-Time Password:時刻同期型)
- 実運用のポイント
- OTP をSMSで送る方式は便利ですが、SIM乗っ取りや中間者攻撃に注意が必要です。
- アプリ(Google Authenticator 等)やハードトークンの方が安全性は高いとされます。
- OTP は有効期限や桁数(例:6桁)で使いやすさと安全性が調整されます。
FAQ
Q1: ワンタイムパスワードを使えばパスワード管理はもう不要ですか?
A1: いいえ。OTP はログイン時の追加的な防御です。通常のパスワード管理(強いパスワード、使い回し禁止)は依然必要です。
A1: いいえ。OTP はログイン時の追加的な防御です。通常のパスワード管理(強いパスワード、使い回し禁止)は依然必要です。
Q2: OTP を盗まれたらどうなりますか?
A2: OTP は短時間しか有効でないため、盗まれても利用可能な時間が短いです。しかしフィッシングでその場で入力させられると有効になる場合があるので注意が必要です。
A2: OTP は短時間しか有効でないため、盗まれても利用可能な時間が短いです。しかしフィッシングでその場で入力させられると有効になる場合があるので注意が必要です。
Q3: スマホをなくしたらどうする?
A3: 事前にリカバリ方法(バックアップコード、別の認証手段)を設定しておきます。紛失時は速やかにサービス提供者へ問い合わせてアカウントを保護します。
A3: 事前にリカバリ方法(バックアップコード、別の認証手段)を設定しておきます。紛失時は速やかにサービス提供者へ問い合わせてアカウントを保護します。
Q4: OTP はなぜ安全なのですか?
A4: 同じパスワードが何度も使えないため、第三者が過去に漏れたパスワードを再利用してログインすることを防げます(リプレイ攻撃の抑止)。
A4: 同じパスワードが何度も使えないため、第三者が過去に漏れたパスワードを再利用してログインすることを防げます(リプレイ攻撃の抑止)。
関連キーワード: ワンタイムパスワード、OTP、トークン、TOTP、HOTP、なりすまし、多要素認証、パスワード漏えい

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

