【セキュリティ】Facebookのサイトでコンソールを開くと隠しメッセージが!


  • 公開:
  • 更新:
  • 編集:
概要 ▶ 情報セキュリティーの攻撃手法が多様化していますね。裏技とか隠し情報とかの怪しい話には乗らないようにしましょう。

仕事柄、ウェブサイトでWeb開発ツール(F12ツール・Firebug・デベロッパーツール)を開くことがあるのですが、Facebookのサイトで開いたら、驚きのメッセージが表示されました。


●Firefox

まずは、メインブラウザーのFirefoxでFirebugを使ってConsole(コンソール)を開いてみます。F12キーを押します。

すると…

20150602-Facebookのサイトでコンソールを開くと警告が表示-01

警告メッセージが表示された!

文面は以下の通り。

"


                                            
 .d8888b.  888                       888    
d88P  Y88b 888                       888    
Y88b.      888                       888    
 "Y888b.   888888  .d88b.  88888b.   888    
    "Y88b. 888    d88""88b 888 "88b  888    これは開発者向けのブラウザ機能です。Facebook機能を有効にするためまたは誰かのアカウントをハッキングするために、ここに何かをコピー・貼り付けするように言われた場合、それは第三者があなたのFacebookアカウントへのアクセスを得るための詐欺・不正行為です。
      "888 888    888  888 888  888  Y8P    
Y88b  d88P Y88b.  Y88..88P 888 d88P         
 "Y8888P"   "Y888  "Y88P"  88888P"   888    
                           888              
                           888              
                           888              

詳細はhttps://www.facebook.com/selfxssをご覧ください。
" uA9pRrJ4Yy9.js:17:2020


Firefox標準の開発ツールで開いてみます。(F5キー)

20150602-Facebookのサイトでコンソールを開くと警告が表示-02

同じように警告が表示されました。



●Chrome

ではChromeでは? デベロッパーツール(F12キー)を開いてみます。

20150602-Facebookのサイトでコンソールを開くと警告が表示-03

カラーで警告!(笑)



●悪意のある人が情報を盗み取る

コンソールの画面では、スクリプトを実行させて、ブラウザーから情報を取得したり、送信したりすることが可能です。

このため、警告文にあるように「何かコピー・貼り付けするように言われた」場合は、悪意のあるスクリプトである可能性があります。


つまり、Facebookで自分しか見られない(友達しか見られない)ハズの情報を他人に閲覧されてしまう可能性もあります。他にも、スクリプトによっては偽のパスワード入力画面を表示させて、パスワードを盗み取ってしまう可能性もあります。

わざわざFacebookがこうした警告を表示するということは、既に被害に遭っている人がいるということです。決して他人事ではありません。


最近のサイバー攻撃は様々な手法があります。

「他の人が隠している情報が見られる」などという甘い言葉に騙されて、こうした罠にハマらないようにしましょう。

それでは、よいセキュリティ対策を。



●補足:セルフXSS詐欺(Facebook公式ページより)

警告文に「詳細はhttps://www.facebook.com/selfxssをご覧ください。」とあるので開いてみると、以下の様な解説が書かれていました。でも「セルフXSS攻撃を防止するには、不審なリンクを絶対に貼り付けないようにします。」は今回の話とは少し違う様な気もします。

セルフXSS手法を利用する犯人は、通常、第三者のアカウントに不正アクセスするのを手伝うと約束して利用者をだまします。犯人は、第三者のアカウントへのアクセス権をあなたに与え、その代わりにあなたをだましてあなたのアカウントを詐欺行為に利用し、さらに多くの人を詐欺に陥れるための悪質なコードを実行させます。

通常、犯人はある利用者のタイムラインに投稿して、その友達を狙います。


セルフXSS攻撃を防止するには、不審なリンクを絶対に貼り付けないようにします。セルフXSS詐欺を見分ける方法については、こちらをご覧ください。

セルフXSS詐欺とはどのようなものですか。 | Facebookヘルプセンター
カテゴリー:

このページをぜひシェアしてください

こんな記事も読まれています

リアクションやコメントをどうぞ