弥生の認証連携サービスへの不正アクセス、最終報告を公表

　弥生株式会社は9月27日、6月22日に公表した第三者からの不正アクセス事象について、最終報告を発表した。

　同社では6月22日に、同社サービスを利用する際に必要な認証連携サービス（ログイン機能）に対し、外部からの不正アクセスが発生し、顧客のログイン情報の一部が参照される状態で、2つの事象が発生したことを公表していた。

　1つ目の事象は5月10日午前10時から6月16日午後6時57分に、一定期間内に連携アプリケーションとの連携設定を行った顧客の弥生IDとパスワードが不正アクセスを行う第三者に参照される可能性があったというもの。

　対象となるのは下記の3例で合計18,364件。

・弥生IDとパスワードを利用して連携アプリケーションとの連携設定を試みた顧客17,504件
・「弥生シリーズ ログイン画面」で間違った弥生IDなどとパスワードを入力し、「ログイン」クリック後に「弥生IDまたはパスワードが違います」とメッセージが表示された顧客600件
・「弥生シリーズ ログイン画面」で同社「あんしん保守サポート」の「お客様番号」と推測される数字とパスワードを入力し、「ログイン」クリック後に「弥生IDまたはパスワードが違います」とメッセージが表示された顧客260件

　該当する連携アプリケーションは下記の通り。
・弥生のサービス
口座連携
Misoca（ミソカ）※YAYOI SMART CONNECTと連携設定した場合のみ

・他社サービス
Airレジ（株式会社リクルート）
スマレジ（株式会社スマレジ）
MakeLeaps（メイクリープス株式会社）
Staple（クラウドキャスト株式会社）
ユビレジ（株式会社ユビレジ）
UレジFOOD（株式会社USEN）
ぐるなびPOS＋（株式会社ぐるなび）

　同社では「なりすましログイン」防止のため、該当する顧客のパスワードを変更し仮パスワードを発行、その後顧客にてパスワード再設定を実施した。9月15日時点でのパスワード再設定率は93.5%になる。

　2つ目の事象は5月18日午後11時54分から6月16日午後6時57分に、同社サービスに顧客がログインした際に一時的に保持しているログイン情報（弥生IDと暗号化したパスワード）に対し、不正アクセスを行う第三者に参照される可能性があったというもの。

　対象となるのは該当期間中に下記の同社クラウドアプリケーションを利用した顧客585,341件。

・弥生クラウドアプリケーション
やよいの白色申告 オンライン
やよいの青色申告 オンライン
弥生会計 オンライン
やよいの給与明細 オンライン
Misoca（ミソカ）
弥生マイポータル

　同社が事象を検知した時点で問題は解消しており、顧客側で作業等を行う必要はない。

　同社では本事象の検証結果を踏まえ、不正な侵入を防ぐためのセキュリティ対策の強化と脆弱性対応の定期化、外部専門家による継続支援、不正アクセス検知早期化に向けたシステム再設計など、社内横断対策チームを組成し、活動を開始しているとのこと。