会計ソフトの「弥生会計」と「弥生販売」に脆弱性

会計ソフトの「弥生会計」と「弥生販売」に脆弱性が発見された。ユーザー情報が暗号化されずにサーバへ送信される恐れがある。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は7月31日、会計ソフト「弥生会計」および「弥生販売」のクイックナビゲータ機能に脆弱性が見つかったとして、JVN（Japan Vulnerability Notes）に情報を公開した。

　「弥生会計」「弥生販売」に搭載されているクイックナビゲータ機能は、ユーザーが弥生のサーバと通信する際にユーザー認証を行う。今回の脆弱性では、ユーザーの登録番号と電話番号情報が暗号化されずにサーバへ送信される恐れがあり、ユーザー情報の漏えいや攻撃者がユーザーになりすましてログインする可能性があるという。

　影響があるのは、「弥生会計」（やよいの青色申告を含む）が05、06、07シリーズの各製品（07シリーズのR2「新減価償却対応版」を除く）、「弥生販売」が06、07シリーズの各製品（07シリーズはバージョン10.0.1のみ）。

　最新バージョン製品の「弥生会計（やよいの青色申告）07 R2シリーズ（Version13.0.1）」および「弥生販売07シリーズ（Version10.0.2）」にアップグレードすればこの問題を回避できる。また、開発元の弥生ではクイックナビゲータ機能に登録されているユーザー情報の削除もしくはクイックナビゲータ機能の停止も併せて呼びかけている。