公開日:2007/07/31 最終更新日:2007/07/31

JVN#43615794
弥生会計における認証情報の扱いに関する脆弱性

概要

弥生会計のクイックナビゲータ機能には、ユーザの認証に使われる情報が暗号化されずに送信される問題が存在します。

影響を受けるシステム

  • 弥生会計05シリーズ・やよいの青色申告05各製品
  • 弥生会計06シリーズ・やよいの青色申告06各製品(R2を含む)
  • 弥生会計07シリーズ・やよいの青色申告07各製品(R2を除く)
  • 弥生販売06シリーズ各製品
  • 弥生販売07シリーズ各製品(製品バージョン10.0.1のみ)
詳しくは開発者が提供する情報をご覧ください。

詳細情報

弥生会計のクイックナビゲータ機能では、弥生株式会社が提供するサーバにログインすることがあります。ログインする際の通信が暗号化されていないため、ネットワークの盗聴などが行われた場合、ユーザのログインに利用される「お客様番号」と「電話番号」が漏えいする可能性があります。

想定される影響

弥生株式会社が提供するサーバとユーザとの間のネットワークを盗聴されるなどすると「お客様番号」と「電話番号」が攻撃者に漏えいする可能性があります。 「お客様番号」と「電話番号」は、弥生株式会社が提供するサーバにログインするために利用されるため、攻撃者がユーザになりすましてログインする可能性があります。

対策方法

アップデートする
ユーザと弥生株式会社サーバ間の通信をSSL化したアップデート版が公開されています。当該製品のユーザはアップデート版に移行することを推奨します。

 

回避策
クイックナビゲータ機能を利用しない。

詳しくは開発者が提供する情報をご覧ください。

ベンダ情報

ベンダ リンク
弥生株式会社 http://www.yayoi-kk.co.jp/news/20070730.html

参考情報

  1. IPA
    「弥生会計」における認証情報の扱いに関する脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.07.31における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia