トークン（token）という言葉は英語で、象徴・証拠品・代用貨幣・引替券といった意味を表します。しかし昨今のデジタル社会において、トークンというワードは、さまざまな最新技術に関する用語として使われるようになりました。

例えば最近注目されている「NFT」は非代替性トークン（non-fungible token）を略した言葉です。同様に「STO」はセキュリティ・トークン・オファリング（security token offering）の略で、株式や債券など、有価証券のデジタル化に関連し、2020年5月に施行された改正金融商品取引法では「電子記録移転権利」と規定され、法整備が整ったことで実際の金融機関での取り扱いも可能になりました。
そしてネット決済などユーザー認証の分野においては、ワンタイムパスワードを生成するデバイスをトークンと呼んでいます。

それぞれのトークンの意味を、もう少し詳しく見てみましょう。NFT、非代替性トークンはさまざまなデジタル資産の商品化に利用されています。アートや音楽、スポーツに関するものなど、デジタルアイテムを唯一無二のものだということを証明します。非代替性トークンを可能にしているのは、ブロックチェーン技術。過去には「Twitterに投稿された最初のツイート」が、NFTとしてオークションに出品され、高値を付けて話題となりました。

そして、ここで詳しく解説していくのが、ワンタイムパスワードを生成するデバイスとしてのトークンです。ネットバンキングでの取り引きなどで、すでにワンタイムパスワードを利用したことがある方も多いでしょう。ワンタイムパスワードはコンピュータやインターネットサービスなど、さまざまな場面でのユーザー認証に活用されています。そうしたワンタイムパスワードを表示する機器をトークンと呼び、これにはカード型、キーホルダー型などさまざまなタイプのトークンが存在します。

ワンタイムパスワードとは、ネットサービスを利用する際に発行される、1度に限り有効なパスワードのことです。

普段よく利用するネットサービスとしては、インターネットバンキングでの取り引きでワンタイムパスワードを入力することがあります。振り込みなど、お金を移動させる際は本人であることの認証が重要なので、ワンタイムパスワードを使って確実性を高める必要があるのです。そして、そのワンタイムパスワードを生成したり表示したりするデバイスを、トークンと呼びます。

インターネットを使った金融取引で、セキュリティを高めてくれるワンタイムパスワードですが、どんな特徴があるのでしょうか。まず、ワンタイムパスワードでは、パスワードを使用できるのは1度だけです。1度使うともう二度と使えなくなってしまうため、使用後にパスワードを他人に使われる心配はありません。中には使用できる期限が決められているものもあります。生成したワンタイムパスワードが、すぐに使えなくなってしまうため、この点もセキュリティの面では安心です。

・ワンタイムパスワードのタイプ
ワンタイムパスワードの仕組みには、いくつかのタイプがあります。例えば、時刻同期方式（タイムスタンプ認証方式）では、トークンは時間ごとに異なるワンタイムパスワードを生成します。パスワードを受け取る「認証サーバ」では、どのトークンがどの時間にどんなパスワードを生成するか、についての情報が登録されています。そのため、ユーザーがトークンに表示されるワンタイムパスワードを入力すると、認証サーバにより認証されるのです。

もうひとつは、チャレンジレスポンス認証方式です。ユーザーはまず、認証サーバに対してアクセスしたいという要求を送ります。これに対して認証サーバからは、ランダムな文字列が送られてきます。ユーザーがトークンに文字列を入力すると、それをもとにトークンが計算した後ワンタイムパスワードを生成、ユーザーはそのパスワードを入力して送信します。認証サーバ側でも同じ計算が行われているため、一致すれば認証成功となるわけです。

ユーザーの認証に必要なワンタイムパスワードを生成し表示するトークン。その重要性と安全性について考えてみましょう。通常、インターネットサービスを利用するためには、IDとパスワードを使ってログインします。認証にワンタイムパスワードを必要としない場合、IDとパスワードを盗まれてしまうと、簡単に不正利用されてしまいます。しかしワンタイムパスワードはユーザー本人が持っているトークンに表示されるため、IDとパスワードを盗まれたとしても、それだけでは認証されないのです。

方式によりますが、トークンが生成し表示するワンタイムパスワードは、毎回異なります。さらに、上述したように1度表示されたワンタイムパスワードは、1度しか使えず、使える時間も短く設定されているため、もしワンタイムパスワードが盗まれたとしても、それを第三者が使える可能性は低くなるといえるでしょう。

ただIDとパスワードが盗まれた上に、ワンタイムパスワードを表示するトークンまで盗まれてしまっては困ります。トークンを安全に保管することも、セキュリティのためには重要です。

・ワンタイムパスワードの弱点
ワンタイムパスワードによる認証は安全性を高めます。しかし完全に安全というわけではありません。いくつかの弱点もあるので確認しておきましょう。

注意したいのはフィッシングサイトの存在です。ネットバンキングなどへのログインをうながす、偽のメールが届くことがありますが、このメールに記載されたURLからは偽のネットバンキングのサイトに誘導されます。ここにIDとパスワード、さらにはワンタイムパスワードまで入力してしまうと、使用期限内であれば第三者のログインを許すことになってしまうのです。

ここまで解説した通り、トークンを使ったワンタイムパスワードはセキュリティを高めますが、ユーザーの負担は増えます。通常のIDとパスワードであれば、自分で記憶して入力できることもあるでしょう。これがワンタイムパスワードとなると、毎回異なる文字列が表示されるため、入力するのが大変と感じることがあるかもしれません。しかし安全性を高めるためには必要な手間ということになります。

認証に必要なワンタイムパスワードを表示するトークンには、大きく分けてハードウェアトークンとソフトウェアトークンという2つのタイプが存在します。ハードウェアトークンは、カード型やキーホルダー型などがあり、大きさは片手で持てる程度です。ボタンを押すとワンタイムパスワードが表示されます。物理的な形があるトークンなので、ハードウェアに分類されるのです。ネットバンキングなどでワンタイムパスワードを利用するためのものとして、提供されることがあります。

一方、ソフトウェアトークンは、スマートフォンなどでダウンロードして使うアプリの形式で提供されます。この場合、スマートフォンの画面にワンタイムパスワードが表示されます。このようにハードウェアトークンとソフトウェアトークンの違いは、ワンタイムパスワード専用の機器に表示されるか、普段使っているスマートフォンに表示されるかです。

ワンタイムパスワードは専用の機器に表示させたり、アプリをインストールしてスマートフォンに表示させたりするほかに、メールやSMSを使った方法もあります。あらかじめ登録しておいたアドレスや電話番号にワンタイムパスワードが届くタイプです。電話を使う場合、音声でワンタイムパスワードが通知されるものもあります。ネット決済においては、金融機関ごとにさまざまな形でワンタイムパスワードが提供されているので、対応できるようにしておきましょう。

ネットショッピングの普及により、クレジットカードやネットバンキングなどを使用した、キャッシュレス決済の場面が増えています。その一方でキャッシュレス決済の安心を脅かしているのが、不正利用の増加です。IDやパスワードがさまざまな手法で盗まれ、第三者によって使われてしまうという危険への対処が求められています。中でも注意が必要なのは「フィッシング詐欺」という、クレジットカード会社や金融機関などを装ったメールやWebサイトを使った詐欺です。

フィッシング情報の届け出件数は年々増えており、2020年上半期に10万件以下だったのが、2021年下半期には30万件ほどになっています。偽のメールやWebサイトに、IDやパスワード、クレジットカード番号、暗証番号、ワンタイムパスワードを入力してしまう可能性は、極力排除しなければなりません。

安心できるキャッシュレス決済のため、フィッシング詐欺への対策としては、まずメールやSMSに記載されたURLはクリックせず、自分のブックマークから、ネットバンキングやネットショッピングのサイトへ行くようにすることです。これにより、偽のURLからアクセスしてしまうりすくを減らせます。また、ブラウザのアドレスバーに表示されるURLにも注意が必要です。SSLという暗号化技術の利用を示す鍵マークがあることや、URLのスペルが偽物でないかなどを必ず確認しましょう。