VIP Access : ワンタイムパスワードで大事なアカウント情報を保護するベリサイン製ツール!無料Androidアプリ

VIPといっても要人 (Very Important Person)専用ではないので悪しからず。
今回ご紹介する『VIP Access』は、シマンテック傘下で、SSLサーバ証明書の発行を手がける「ベリサイン」提供のアプリ。
特定のウェブサイト(VIPメンバーサイト)向けに「ワンタイムパスワード(略してOTP)」を発行します。

ちなみにVIPは「Symantec™ Validation & ID Protection 」のことらしいです。

ワンタイムパスの必要性

「ワンタイムパスワード」とは、言い換えれば1回使い切りタイプの”鍵”です。使ったら壊れるドラクエの「魔法の鍵」とかバイオの「小さな鍵」みたいなもの。
これを追加するということは、ウェブサイトにログインする際に通常のID/パスワード入力に加えて『VIP Access』によるパスワード認証を1段階追加する感じ。これによってログイン時のセキュリティを強化してくれるのが本アプリの特徴です。
ネットを通じて決済サービスを利用する場合、利用したサイトからアカウントIDやパスワードが漏れてしまうと、個人情報ばかりかお金まで失う危険性に直面しますよね。
またお金のやりとりが絡んだサービスのアカウントというのは狙われやすいものでもあるため、強固なセキュリティシステムが必要になります。

Google2段階認証に近いイメージ

『VIP Access』はAndroidだけでなくiOS/Windows Mobile/Windows Phone/BlackBerry/そして勿論パソコンやガラケーでの利用も可能です。
形式としては『Google認証システム』と同じようなものになります。

本アプリを使うにはまず、利用したいメンバーサイトに「クレデンシャルID」を登録する必要があります。
パソコンまたはスマホからVIPメンバーサイト一覧にアクセスすると、本サービスを利用できるサイトが確認できます。見慣れたロゴマークがあったら要チェック。
特にネットショッピングを多用する方は「Paypal」や「ebay」、オンラインゲーマーは「Hangame」や「NC JAPAN」などを利用されている場合もあるのではないでしょうか。

今回は「Hangame」で登録手続きを行ってみます。

クレデンシャルID登録

VIPメンバーサイト一覧よりHangameのロゴをクリックすると、OTPの利用登録ページにジャンプします。

概要をよく読み、手順を理解したら「利用設定する」ボタンをクリック。

ログイン時に登録したメールアドレスに登録メールが届きます。
記載されているURLをタップすると、ワンタイムパスワードの利用登録画面になります。
「Token ID」に本アプリに表示されている「クレデンシャルID」を入力します。
「パスワード」にも同様に、本アプリに表示されている「セキュリティコード」を入力します。
本アプリに表示された情報を確認しながら入力する必要があるので、最初はパソコンを使ったほうが楽かもしれません。

※本アプリのセキュリティコードは発行から30秒で自動的に別のものに変わります。変わった時点で以前のコードは使えなくなるため、入力時には注意しましょう。

この部分に失効までのカウントが表示されているので、打ち込む速度に自信がない場合は切り替わった直後を狙うと良いと思います。
本アプリや『Google認証システム』によるワンタイムパスワードは、パスワードに使用する文字列が発行から30秒しか使えないところがキモになります。
このため、万が一パスワードを盗み見られたとしても使われる危険性がほとんどないのが特徴です。残り10秒で失効するタイミングとかで見られても、対象のページを開いて、同じく盗み出したアカウントIDとパスワード入れて、OTP入力画面を出して、OTPを入力して、ログイン認証が通るまでやらなきゃいけませんからね。
また、毎回入力するコードが異なることからキーロガーなどを仕込んで入力文字列を解析されたとしても認証を突破できません。なぜならその時点でそのパスコードは既に失効しているから。

これがOTPを使った2段階認証の威力です。ネットカフェなど公共の場でログインIDの入力が必要な場合でもリスクを低減することができます。

タイピングが苦手な人でも大丈夫!

一連の登録作業やログインをスマホだけで行いたい場合や、タッチパネルを使った文字入力が苦手な場合はこちらを使うと良いでしょう。
端末のメニューキーを押して「コピー」を選ぶと、クレデンシャルIDとセキュリティコードをコピペすることができます。特にクレデンシャルIDは桁数が多いため、打ち間違いを防止する意味でもコピーできるのは嬉しいですね。
※この場合でもセキュリティコードのカウントダウンは続いていますので、残り時間には気をつけてください。

「使い方」からメンバーサイト確認ページを開いたりヘルプを参照することができます。
また、セキュリティコードを入力したものの弾かれてしまうなどの問題が発生した際には、「設定」から本アプリをリセットしてみると改善する可能性があります。

オンラインゲームにも使えるということで、利用の幅は結構広いです。
更に、本サービス自体Hangameなど特定の企業とは直接関係ないベリサイン(シマンテック)の提供によるものなので、サービス側に情報が残りません(残ったとしても30秒で失効するパスコードを使っているため意味がない)。
このため、万が一サービス会社側からユーザーID/パスワードが流出したとしても、そのIDとパスを使ってログインされる危険性を下げることが可能です。
『VIP Access』による認証を導入している場合、サービス会社に登録されているIDとパスワードだけではログインできませんからね。

よく使うサービスがVIPメンバーになっている場合は『VIP Access』によるOTPの登録をお忘れなく。