インフォメーション

2021年07月13日 icon_update

不正アクセスに関するお詫びとお知らせ

2021年7月13日 更新 「事象1について」を2021年7月12日までの調査で判明した内容を元に更新しました。
過去の更新履歴
 このたび、弊社サービスをご利用いただく際に必要な認証連携サービス(ログイン機能)に対して、外部からの不正なアクセスが発生し、お客さまのログイン情報(「弥生ID(メールアドレス)」と「パスワード」など)の一部が不正アクセスを行う第三者から参照されうる状態であったことが判明しました。
 なお、2021年7月5日時点において、IDとパスワードを含むお客さまの情報が流出した事実は確認できておりません。
 
 お客さまをはじめ、関係者の皆さまには多大なるご迷惑およびご心配をお掛けします事を深くお詫び申し上げます。
 現在までに判明している事実と弊社の対応につきまして、以下の通りご報告いたします。
 

判明している事実

 弊社のサービスを便利にお使いいただくために用意している、「シングルサインオン機能(1つのIDとパスワードを入力して複数のWebサービスやアプリケーションにログインする仕組み)」に対して、不正アクセスを検知しました。これに伴い、一定期間内に以下の二つの事象が発生していたことが判明しております。なお、いずれも現時点で情報漏えいや悪用された事象は確認されておりません。

 

事象1

一定期間内に連携アプリケーションとの連携設定を行う際に入力された弥生IDとパスワードが、不正アクセスを行う第三者に参照される可能性がありました。該当するお客さまのパスワードを弊社にて変更しますので、お手数をおかけしますがパスワード変更をお願いします。詳細は「事象1 に該当するお客さまへのお願い(後述)」をご確認ください。

< 弥生シリーズ ログイン画面 >

01 (1).png

 

事象2

弊社サービスにお客さまがログインした際に一時的に保持しているログイン情報(弥生IDとパスワードを暗号化したもの)に対して、不正アクセスを行う第三者に参照される可能性がありました。現時点で問題は解消しておりますので、お客さまにて作業等を行っていただく必要はございません。

 

 

事象1 について

【2021年7月5日までの調査で判明した内容を元に更新】 

 2021年5月10日(月)10:00 ~ 2021年6月16日(水)18:57の間に連携アプリケーションとの連携設定を行う際、お客さまのIDとパスワードが、不正アクセスを行う第三者に参照される可能性がありました。対象件数は、以下<1>と<2>を合わせて、18,364件です。なお、当該期間に連携設定を行っていないお客さまは、本事象の対象外です。

<1> 当該期間に、弥生IDとパスワードを利用して以下の連携アプリケーションとの連携設定を行ったお客さまが該当します。対象件数は17,468件です※1

※1 調査の結果、7月5日までに本対象が新たに331件判明しました。そのため、331件のお客さまに対しても「事象1 に該当するお客さまへのお願い」を実施しております。

 

<2> 当該期間に連携設定を行う際、「弥生シリーズ ログイン画面」で間違った弥生IDなどとパスワードを入力の上、[ログイン]をクリック後に「弥生IDまたはパスワードが違います」※2というメッセージが出たお客さまが該当します。対象件数は896件※3です。
 
※2 「弥生IDまたはパスワードが違います」のメッセージは、弥生IDが未登録の場合や弥生ID(メールアドレス)の打ち間違い等が原因で表示されます。
※3  調査の結果、7月5日までに弥生ID(メールアドレス)の打ち間違いが新たに636件判明しました。その内、7月5日までに既に登録していた弥生IDを変更あるいは新規で弥生ID登録をした36件のお客さまに対しても「事象1 に該当するお客さまへのお願い」を実施しております。600件については、同メールアドレスでの弥生ID新規登録を停止しております。弊社サービスをご利用の際は別のメールアドレスをご利用いただくか、お手数をおかけしますが弊社にご連絡いただければ、確認させていただいた後に停止したメールアドレスをご利用いただけるよう対応いたします。なお、弥生ID(メールアドレス)以外に弊社のあんしん保守サポートのお客様番号と思われる数字を入力されているケース260件も判明しております。該当のお客さまには、弊社のあんしん保守サポートの利用に影響する可能性があるため、お客様番号のパスワードについて変更の推奨を別途ご案内しております。
 
連携設定とは、金融機関口座や他社サービスと連携するための設定です。該当期間内に以下の設定を行った場合、該当する場合があります。
 
<1>の代表例となる口座連携の連携設定は以下の2パターンです。4まで実施した方が該当します。
  • パターンA:初めてスマート取引取込を利用する場合。1~4の手順。
  • パターンB:既にスマート取引取込を利用している場合。2~4の手順。
 
例)「弥生スマート取引取込」で口座連携を設定する場合の手順

 

1. スマート取引取込から[口座連携の設定]画面を表示します。
 

<[はじめに]画面が表示された場合>

(1)「金融機関口座と連携する(口座自動連携ツール)」の[設定]をクリックします。


image3.png

 
*[はじめに]画面は、初めてスマート取引取込を利用する際に表示されます。
**[はじめに]画面が表示されない場合は、スマートメニューの[はじめに]をクリックします。
 

 

<既に「口座連携の設定」を利用している場合>

 
口座連携を利用している場合は、[サービスの連携]からもログインできます。

(1)設定メニューの[サービスの連携]をクリックして[連携済みのサービス一覧]画面を表示します。
(2)「口座連携」アイコン横の▼をクリックして[取得の設定を行う]を選択します。


image4.png2. [ログイン画面へ]をクリックします。


image5.png
 
3. 「弥生シリーズ ログイン画面」が出ます。
弥生IDとパスワードを入力して、[ログイン]をクリックします。

image6.png
 
4.
【ログイン成功】
[外部サービス連携確認画面]が表示され、連携設定を行った状態となります。

image7.png
【ログイン失敗】
「弥生IDまたはパスワードが違います」が表示された場合、<2>に該当する可能性があります。
Failure.png
 
【弊社のサービス】
  • 口座連携
  • Misoca(ミソカ)※4  
※4 YAYOI SMART CONNECTと連携設定した場合のみ対象です
 
【他社のサービス】
  • Airレジ(株式会社リクルート)
  • スマレジ(株式会社スマレジ)
  • MakeLeaps(メイクリープス株式会社)
  • Staple(クラウドキャスト株式会社)
  • ユビレジ(株式会社ユビレジ)
  • UレジFOOD(株式会社USEN)
  • ぐるなびPOS+(株式会社ぐるなび)
 
なお、上記以外の口座情報一括管理サービス、画像取り込みサービス、『弥生 レシート取込アプリ』は、本件事象に該当しません。
 
 

事象1 に該当するお客さまへのお願い

 現時点で情報が流出した事実は確認できておりませんが、万が一に備えて事象1に該当されたお客さまの安全を守ることを優先し、弊社でパスワードを変更させていただきます。別途、弊社よりメールにて仮パスワードをご連絡しますので、お手数をおかけしますがパスワードの変更をお願いいたします。(セキュリティ上、弊社からお電話で仮パスワードを発行することはいたしませんので、ご注意ください)
 
 なお、弥生ID(メールアドレス)を変更していただく必要はありません。
 
*弥生IDとパスワードを他のインターネットサービスでも使用されている場合、パスワード変更を推奨しております。
 
 

事象1 に該当するお客さまのパスワード変更手続き

(1) 弥生から仮パスワードが記載されているメールを確認してください。
 
(2) 弥生マイポータルのログイン画面(以下 URL)から弥生IDと仮パスワードでログインしてください。
 *パスワードがロックされた場合は30分ほどお待ちいただくか、こちらからパスワードを再発行してください。
 
(3) ログイン後、以下の画面が表示されます。[変更する]ボタンをクリックしてください。 

image8.png
 
(4) 「パスワード変更画面」で[現在のパスワード]に仮パスワードを入力、[新しいパスワード]にお客さまが設定されるパスワードを入力してください。
 *以前のパスワードではなく、必ず新たなパスワードを設定してください。

image9.png
 
(5) [変更する]をクリック後、パスワード変更手続きが完了します。
 
(6) 口座連携への再ログイン及びその他のアプリケーションの再連携をおこなってください。
  • 口座連携をご利用の場合
    パスワードの変更手続き後、口座連携に再度ログインをおこなってください。
  • その他のアプリケーションをご利用の場合
    一旦連携を解除し、該当アプリケーションに再度連携をおこなってください。
 
(7) セキュリティ強化の一環として、有効期限を「30日」で一律に設定しました。パスワード有効期限の変更を希望される場合は、弥生マイポータルにログイン後、「弥生ID登録情報の確認・変更」から「パスワード有効日数変更」で設定変更をお願いします。

image10.png
 
(有効期限の日時は変わる可能性があります)
 

事象2 について

 弊社サービスにお客さまがログインした際に一時的に保持しているログイン情報(お客さまのIDとパスワードを暗号化したもの)に対して、不正アクセスを行う第三者に参照される可能性がありました。
2021年5月18日(火)23:54 ~ 2021年6月16日(水)18:57の間に、弊社クラウドアプリ※5を利用されたお客さまが該当します。対象件数は585,341件です。ただし、現時点で問題は解消しておりますので、お客さまにて作業等を行っていただく必要はございません。
 
※5 弊社クラウドアプリ
・やよいの白色申告 オンライン
・やよいの青色申告 オンライン
・弥生会計 オンライン
・やよいの給与明細 オンライン
・Misoca(ミソカ)
・弥生マイポータル
 
 

現在の対応と対策の状況

 本件を検知後、弊社では速やかに不正アクセスおよびIDとパスワードの不正取得に対する対策を実施しております。また、不正アクセスを含めたデータベースの監視も強化しており、事象1と事象2ともに現在は不正なアクセスが発生しないことを確認しております。
 
 本件に関しましてご不明な点がございましたら、以下のお問合せ窓口までお問い合わせ下さいますよう、お願い申し上げます。また、現時点で情報漏えいや悪用された事象は確認されておりません。万一、当該期間中にご自身で身に覚えのないことが起きたなどございましたら、弊社までお問い合わせください。
 
 弊社は今回の事態を重く受け止め、再発防止に向け、お客様情報の管理について、再度徹底してまいります。また今後、新たにお伝えすべき事象が明らかになりましたら、適宜お知らせしてまいります。

 

 

本件に関する問い合わせ先

情報セキュリティ専用窓口[臨時] 0120-057-841(フリーダイヤル) / 050-3388-0999(IP電話)

 受付時間:9:30~12:00/13:00~17:30(土・日・祝日、および弊社休業日を除きます)
 ※「音声ガイド」に従って操作をしてください。
 ※番号をよくお確かめのうえおかけください。

 

■ 過去の更新履歴
2021年7月6日 更新 「事象1について」を2021年7月5日までの調査で判明した内容を元に更新しました。
2021年6月30日 更新 「事象1 に該当するお客さまのパスワード変更手続き」の(5)と(6)の文章を修正しました(内容変更はありません)。
2021年6月24日 更新 「事象1 に該当するお客さまへのお願い」に「*弥生IDとパスワードを他の・・」を追記しました。
2021年6月23日 更新 「事象1 に該当するお客さまのパスワード変更手続き」に「*パスワードがロックされた場合・・」を追記しました。
2021年6月23日 更新 「本件に関する問い合わせ先」に「フリーダイヤル」を追記しました。
2021年6月22日 更新 「事象1 に該当するお客さまのパスワード変更手続き」に「*以前のパスワードではなく、必ず新たな・・」を追記しました。

2021年6月22日 公開