平成27年度 春期 ITパスポート試験 公開問題 問61 解説 ワンタイムパスワード

選択肢の判断基準

ワンタイムパスワード（OTP）の名前の由来である「一度（ワンタイム）しか使えない」という特性に着目します。一度使ったら無効になるパスワードであれば、たとえ攻撃者にパスワードが知られても、その時点ですでに無効化されているため、それを使ってシステムに不正にログインすることを防げます。したがって、正解は「エ 漏えいしたパスワードによる不正侵入」となります。

ワンタイムパスワードの仕組みと役割

ワンタイムパスワードとは、ログインするたびに変化する使い捨てのパスワードです。一般的な固定パスワード（IDとパスワードの組み合わせ）は、一度漏えいすると攻撃者はいつでも好きな時にシステムへ侵入できてしまいます。

これに対し、ワンタイムパスワードは認証のたびに新しいパスワードが生成されます。仮に通信の途中でパスワードが盗聴されたり、フィッシングサイトなどで入力したパスワードが攻撃者の手に渡ったりしても、そのパスワードは「一度限りのもの」です。認証が成功した瞬間にそのパスワードは無効になるため、同じパスワードを使って繰り返しログインしようとする攻撃は失敗に終わります。

他の選択肢が誤りである理由

ア：通信経路におけるパスワードの盗聴自体は、SSL/TLSなどの暗号化技術によって防ぐものです。ワンタイムパスワードは、盗聴されたパスワードを悪用されることを防ぐ仕組みであり、盗聴そのものを防ぐ技術とは役割が異なります。

イ：不正侵入された後の「ファイルの改ざん」は、アクセス権限の設定やログの監視、システムの堅牢化といった別のセキュリティ対策が必要です。一度侵入を許してしまった後で何ができるかという対策の話であり、認証の強化であるワンタイムパスワードの直接的な目的ではありません。

ウ：ウイルス感染は、電子メールの添付ファイル開封や脆弱性のあるソフトウェアの使用などが主な原因です。パスワード認証とは別のレイヤー（入口）での対策であるため、無関係です。

セキュリティ対策としての重要性

ITパスポートの試験において、この問題は「認証技術」のカテゴリに分類されます。現代のセキュリティ対策では、パスワードのみの認証（知識認証）は非常に脆弱であると認識されています。

そのため、スマートフォンの認証アプリやSMSによるワンタイムパスワードの生成、あるいは物理的なトークンを用いた認証など、多要素認証（MFA）を組み合わせてセキュリティを高めることが推奨されています。自分自身が普段使っているサービスで、ログイン時に「認証コードを入力してください」という画面が表示されるのは、まさにこの「漏えいしたパスワードによる不正侵入」を防ぐための対策が動いている証拠です。

参考リンク

• ワンタイムパスワードとは？仕組みやメリット・デメリットをわかりやすく解説
• 【実演】Google認証システムでワンタイムパスワードの仕組みをPythonで実装してみた
• 多要素認証（総務省 国民のための情報セキュリティサイト）