不正アクセスに関する当社対応について【最終報告 2021年9月27日】(転載)


不正アクセスに関する当社対応について【最終報告 2021年9月27日】
yayoi-kk.co.jp/news/20210927-…

 弥生株式会社は、2021年6月22日に公表した第三者による不正アクセス事象について、これまでの当社対応等を踏まえ、最終報告をいたします。なお、公表時から現時点において、情報漏洩や悪用された事象は確認されておりません。
 お客さまをはじめ、関係者の皆さまには多大なるご迷惑およびご心配をお掛けしましたことを深くお詫び申し上げます。今後は全社一丸となり再発防止の実行に着実に取り組んでまいります。
 

1. 発生事象

 以降に記載する日時において、弊社サービスをご利用いただく際に必要な認証連携サービス(ログイン機能)に対して、外部からの不正なアクセスが発生し、お客さまのログイン情報(「弥生ID(メールアドレス)」と「パスワード」など)の一部が不正アクセスを行う第三者から参照されうる状態でした。大きく2つの事象が発生しました。
 

事象1

 一定期間内に連携アプリケーションとの連携設定を行ったお客さまの弥生IDとパスワードが不正アクセスを行う第三者に参照される可能性がありました。
対象期間
  • 2021年5月10日(月)10:00~2021年6月16日(水)18:57
対象件数
  • 18,364件
 対象期間中に認証基盤システムのログイン画面から「ログイン」ボタンをクリックした方(ログインの成否に関わらない)。以下<1>と<2-A><2-B>が該当します。
 
<1> 弥生IDとパスワードを利用して連携アプリケーション*との連携設定を試みたお客さまが該当します。対象件数は17,504件※1です。
※1 弥生ID(メールアドレス)を間違って「ログイン」ボタンをクリックした方のうち、7月5日までに既に登録していた弥生IDを変更あるいは新規で弥生ID登録をした36件を含む
 
<2-A> 「弥生シリーズ ログイン画面」で間違った弥生IDなどとパスワードを入力し、「ログイン」クリック後に「弥生IDまたはパスワードが違います」※2とメッセージが出たお客さまが該当します。対象件数※3は600件です。
※2 「弥生IDまたはパスワードが違います」のメッセージは、弥生IDが未登録の場合や弥生ID(メールアドレス)の打ち間違い等が原因で表示されます
※3 弊社「あんしん保守サポート」の「お客様番号」と思われるケースは除く
 
<2-B> <2-A>と同事象のお客さまのうち、弊社「あんしん保守サポート」の「お客様番号」と思われる数字を入力されているケース。対象件数は260件です。
 
* 該当する連携アプリケーション
【弊社のサービス】
  • 口座連携
  • Misoca(ミソカ) ※YAYOI SMART CONNECTと連携設定した場合のみ対象です
 
【他社のサービス】
  • Airレジ(株式会社リクルート)
  • スマレジ(株式会社スマレジ)
  • MakeLeaps(メイクリープス株式会社)
  • Staple(クラウドキャスト株式会社)
  • ユビレジ(株式会社ユビレジ)
  • UレジFOOD(株式会社USEN)
  • ぐるなびPOS+(株式会社ぐるなび)

 

事象2

 弊社サービスにお客さまがログインした際に一時的に保持しているログイン情報(弥生IDとパスワードを暗号化したもの)に対して、不正アクセスを行う第三者に参照される可能性がありました。ただし、事象検知時点で問題は解消しており、お客さまにて作業等を行っていただく必要はありませんでした。
対象期間
  • 2021年5月18日(火)23:54~2021年6月16日(水)18:57
対象件数
  • 585,341件
 該当期間中に弊社クラウドアプリケーション**を利用されたお客さま
 
** 弊社クラウドアプリケーション
  • やよいの白色申告 オンライン
  • やよいの青色申告 オンライン
  • 弥生会計 オンライン
  • やよいの給与明細 オンライン
  • Misoca(ミソカ)
  • 弥生マイポータル

 

1. お客さまへの対応(全体)

  • 6月22日にインフォメーション(弥生Webサイト)を公開。以後、新たに判明した事実を元に内容を随時更新し、情報発信を行いました。
  • 専用窓口「情報セキュリティ専用窓口[臨時]フリーダイヤル※4」を設置し、お客さまからの問い合わせ対応を行いました。
※4 2021年9月末で受付を終了し、以後本件についてはこちらで対応を継続いたします

 

2. 【事象1】のお客さまへの対応

 「なりすましログイン」防止のため、該当するお客さまのパスワードを弥生側で変更後、仮パスワードを発行、その後お客さまにてパスワード再設定を実施いただきました。パスワード再設定のお願いは、インフォメーションでの全体告知に加え、メール、郵送、電話にて個別連絡を実施しました。2021年9月15日時点でのパスワード再設定率は93.5%※5になります。
※5 パスワード未再設定の方については、複数回の架電および郵送でのご連絡を実施しました。これ以上はお客さまのご迷惑になる可能性が高いため、弊社からのご連絡は控えております。パスワードは弊社にて変更済のため、なりすましログインは防止されます
 

3. 【事象2】のお客さまへの対応

 前述の通り、事象検知時点で問題は解消しており、お客さまにて作業等を行っていただく必要はありませんでした。
 

再発防止に向けた今後の取り組み

 本事象の検知後、システム面と業務運用面の両面で、問題とその原因の検証を行ってまいりました。検証結果を踏まえ、再発防止に向けて、不正な侵入を防ぐためのセキュリティ対策の強化、脆弱性対応の定期化および外部専門家による継続支援、不正アクセス検知早期化に向けたシステム再設計など、社内横断対策チームを組成のうえ、活動を開始しております。今後は全社一丸となり再発防止の実行に着実に、継続的に取り組んでまいります。