有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)と独立行政法人 情報処理推進機構(IPA)は7月31日、「弥生会計」にログイン情報が漏洩する脆弱性が確認されたとして、JVNで情報を公開した。
この脆弱性は、弥生会計のクイックナビゲータ機能に、ユーザーの認証に使われる情報が暗号化されずに送信されることが原因で、ログインする際の通信が暗号化されていないため、ネットワークの盗聴などが行われた場合、ユーザーのログインに利用される「お客様番号」と「電話番号」が漏洩する可能性があるというもの。
脆弱性が存在するシステムは、「弥生会計05シリーズ・やよいの青色申告05各製品」「弥生会計06シリーズ・やよいの青色申告06各製品(R2を含む)」「弥生会計07シリーズ・やよいの青色申告07各製品(R2を除く)」「弥生販売06シリーズ各製品」「弥生販売07シリーズ各製品(製品バージョン10.0.1のみ)」と発表されている。
脆弱性が悪用された場合、盗聴などによって不正に入手されたログイン情報を使用し、悪意ある第三者がユーザーになりすましてログインする可能性がある。この脆弱性に対し、弥生では通信を暗号化するアップデート版を公開しており、アップデートまでの回避策として、クイックナビゲータ機能を利用しないよう呼びかけている。
http://japan.cnet.com/news/sec/story/0,2000056024,20353898,00.htm?ref=rss
数年前、弥生会計のキャンペーンで使われたユーザ情報が流出したことを思い出しました。自分のところにもお詫びのメールが届いていたっけ・・・。
あのときは確か名簿業者とか先物取引業者には漏れたけれど、ネット上に流出したわけではなかったようですが、今回報告された脆弱性は致命的ですな。
唯一の朗報としてはクイックナビゲータというソフトをある程度アイコンで操作できるユーティリティ部分からの「限定された情報流出」という点です。実際に使ってみるとAltキーとのコンビネーションでショートカットを使った方が操作は格段に速くて、クイックナビゲータ自体は弥生とパソコンどちらもあまり使えないようなユーザが使うイメージがあります。
すでにこの脆弱性に対するアップデートは公開されているので、ユーザのみなさんはサックリ作業をしておきましょう。軽快に動作する弥生会計に慣れちゃったユーザは、きっと他の会計ソフトに乗り換える気なんてさらさらないでしょうからね。
