有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)と独立行政法人 情報処理推進機構(IPA)は7月31日、「弥生会計」にログイン情報が漏洩する脆弱性が確認されたとして、JVNで情報を公開した。
この脆弱性は、弥生会計のクイックナビゲータ機能に、ユーザーの認証に使われる情報が暗号化されずに送信されることが原因で、ログインする際の通信が暗号化されていないため、ネットワークの盗聴などが行われた場合、ユーザーのログインに利用される「お客様番号」と「電話番号」が漏洩する可能性があるというもの。
脆弱性が存在するシステムは、「弥生会計05シリーズ・やよいの青色申告05各製品」「弥生会計06シリーズ・やよいの青色申告06各製品(R2を含む)」「弥生会計07シリーズ・やよいの青色申告07各製品(R2を除く)」「弥生販売06シリーズ各製品」「弥生販売07シリーズ各製品(製品バージョン10.0.1のみ)」と発表されている。
脆弱性が悪用された場合、盗聴などによって不正に入手されたログイン情報を使用し、悪意ある第三者がユーザーになりすましてログインする可能性がある。この脆弱性に対し、弥生では通信を暗号化するアップデート版を公開しており、アップデートまでの回避策として、クイックナビゲータ機能を利用しないよう呼びかけている。