このページの本文へ

uniFLOW Onlineのログイン機能に関する脆弱性対応について(更新)

2024年7月16日

キヤノンマーケティングジャパン株式会社

(初回掲載日:2024年6月17日)

平素はキヤノン製品をご愛用頂きありがとうございます。

uniFLOW Onlineのログイン機能に脆弱性が発見されました。

本脆弱性は、「Eメールログイン」機能が有効な状態でメールセキュリティチェックサービスと組み合わせて使用している場合、イントラネット内の別ユーザーがSmart Client またはChrome拡張「uniFLOW Online Chromeブラウザプラグイン」のアプリケーションを登録し、一部の機能を利用される可能性があるというものです。
本脆弱性はシステムへの侵入につながることはありません。また、現時点で悪用の報告はございません。

  • メールセキュリティチェックサービスとは、「Microsoft Safe Links」(現在はMicrosoft DefenderまたはOffice 365のMicrosoft ATP Advanced Threat Protection機能) または同等のセキュリティ機能を持つサービス

本脆弱性は、2024年5月30日のバージョン2024.1.1のリリースにて、「Eメールログイン」のセキュリティ機能の強化で修正されています。

対象

問題が発生するuniFLOW Onlineのバージョン

2024.1.0以前

影響を受けるuniFLOW Onlineアプリケーション

  • uniFLOW SmartClient:uniFLOW onlineデスクトップアプリケーション(Windows・Mac)
  • Chromeの拡張機能:uniFLOW Online Chromeブラウザプラグイン

対策バージョン

  • 脆弱性対策:2024.1.1(2024年5月30日リリース)
  • 対象ユーザー通知機能追加:2024.2.1(2024年7月9日リリース)

CVE番号

CVE-2024-1621(予約済み)

安心してサービスをお使いいただくために

バージョン2024.2.1(2024年7月9日リリース)では、影響を受ける可能性があるユーザーが存在するテナントの管理者に対して、電子メールおよびテナントポータル画面にて通知します。

通知を受けた際には、確認が必要なユーザーへの通知設定を実施いただき、ユーザーにアプリケーションの接続状況確認を実施いただけますようお願いいたします。

  • 「Eメールログイン」機能が有効、且つSmart Client またはChrome拡張「uniFLOW Online Chromeブラウザプラグイン」のアプリケーションに接続しているユーザー

対象ユーザー確認手順(テナント管理者様向け)

接続アプリ確認手順(ユーザー向け)

本脆弱性による影響の可能性をなくす為、2024年9月1日時点で未確認のユーザーに対してアプリケーションからの接続を強制的に切断いたします。
該当のお客様は、アプリケーションより再登録を実施いただけますようお願いいたします。

今後とも引き続き、安心してキヤノン製品をご利用いただきますようお願い申し上げます。