JVN、「弥生会計」でログイン情報が漏洩する脆弱性情報を公開

　有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）と独立行政法人 情報処理推進機構（IPA）は7月31日、「弥生会計」にログイン情報が漏洩する脆弱性が確認されたとして、JVNで情報を公開した。

　この脆弱性は、弥生会計のクイックナビゲータ機能に、ユーザーの認証に使われる情報が暗号化されずに送信されることが原因で、ログインする際の通信が暗号化されていないため、ネットワークの盗聴などが行われた場合、ユーザーのログインに利用される「お客様番号」と「電話番号」が漏洩する可能性があるというもの。

　脆弱性が存在するシステムは、「弥生会計05シリーズ・やよいの青色申告05各製品」「弥生会計06シリーズ・やよいの青色申告06各製品（R2を含む）」「弥生会計07シリーズ・やよいの青色申告07各製品（R2を除く）」「弥生販売06シリーズ各製品」「弥生販売07シリーズ各製品（製品バージョン10.0.1のみ）」と発表されている。

　脆弱性が悪用された場合、盗聴などによって不正に入手されたログイン情報を使用し、悪意ある第三者がユーザーになりすましてログインする可能性がある。この脆弱性に対し、弥生では通信を暗号化するアップデート版を公開しており、アップデートまでの回避策として、クイックナビゲータ機能を利用しないよう呼びかけている。