仕事柄、ウェブサイトでWeb開発ツール(F12ツール・Firebug・デベロッパーツール)を開くことがあるのですが、Facebookのサイトで開いたら、驚きのメッセージが表示されました。
●Firefox
まずは、メインブラウザーのFirefoxでFirebugを使ってConsole(コンソール)を開いてみます。F12キーを押します。
すると…
警告メッセージが表示された!
文面は以下の通り。
"
.d8888b. 888 888
d88P Y88b 888 888
Y88b. 888 888
"Y888b. 888888 .d88b. 88888b. 888
"Y88b. 888 d88""88b 888 "88b 888 これは開発者向けのブラウザ機能です。Facebook機能を有効にするためまたは誰かのアカウントをハッキングするために、ここに何かをコピー・貼り付けするように言われた場合、それは第三者があなたのFacebookアカウントへのアクセスを得るための詐欺・不正行為です。
"888 888 888 888 888 888 Y8P
Y88b d88P Y88b. Y88..88P 888 d88P
"Y8888P" "Y888 "Y88P" 88888P" 888
888
888
888
詳細はhttps://www.facebook.com/selfxssをご覧ください。
" uA9pRrJ4Yy9.js:17:2020
Firefox標準の開発ツールで開いてみます。(F5キー)
同じように警告が表示されました。
●Chrome
ではChromeでは? デベロッパーツール(F12キー)を開いてみます。
カラーで警告!(笑)
●悪意のある人が情報を盗み取る
コンソールの画面では、スクリプトを実行させて、ブラウザーから情報を取得したり、送信したりすることが可能です。
このため、警告文にあるように「何かコピー・貼り付けするように言われた」場合は、悪意のあるスクリプトである可能性があります。
つまり、Facebookで自分しか見られない(友達しか見られない)ハズの情報を他人に閲覧されてしまう可能性もあります。他にも、スクリプトによっては偽のパスワード入力画面を表示させて、パスワードを盗み取ってしまう可能性もあります。
わざわざFacebookがこうした警告を表示するということは、既に被害に遭っている人がいるということです。決して他人事ではありません。
最近のサイバー攻撃は様々な手法があります。
「他の人が隠している情報が見られる」などという甘い言葉に騙されて、こうした罠にハマらないようにしましょう。
それでは、よいセキュリティ対策を。
●補足:セルフXSS詐欺(Facebook公式ページより)
警告文に「詳細はhttps://www.facebook.com/selfxssをご覧ください。」とあるので開いてみると、以下の様な解説が書かれていました。でも「セルフXSS攻撃を防止するには、不審なリンクを絶対に貼り付けないようにします。」は今回の話とは少し違う様な気もします。
セルフXSS手法を利用する犯人は、通常、第三者のアカウントに不正アクセスするのを手伝うと約束して利用者をだまします。犯人は、第三者のアカウントへのアクセス権をあなたに与え、その代わりにあなたをだましてあなたのアカウントを詐欺行為に利用し、さらに多くの人を詐欺に陥れるための悪質なコードを実行させます。
通常、犯人はある利用者のタイムラインに投稿して、その友達を狙います。
セルフXSS攻撃を防止するには、不審なリンクを絶対に貼り付けないようにします。セルフXSS詐欺を見分ける方法については、こちらをご覧ください。
セルフXSS詐欺とはどのようなものですか。 | Facebookヘルプセンター