このページの内容
Self-XSS攻撃について
誰かに指示されてMisskeyを操作していたら、上図のような画面に遭遇してこのページに辿り着きましたか? おそらくあなたは悪意ある攻撃者に騙されています。
入力しろと指示された内容(おそらくプログラムです)を入力しない限り、指示していた攻撃者に情報が送信されることはありません。すぐに作業を中止してください。
この画面は開発者がコードの確認やバグ修正に使うための「コンソール」と呼ばれるツールで、通常の利用でこの画面を必要とすることはありません。
もう少し詳しく
Self-XSS攻撃では、攻撃者がユーザーをだまして、ブラウザの開発者ツールに悪意のあるプログラムコードを貼り付けさせます。この際、ユーザーには以下のような文句で誘導させます:
- 隠し機能や特典を開放できる
- セキュリティテストのためにこのコードを実行してみてほしい
- ウェブサイトをハッキングして不正にポイントを入手できる
このような文句に騙されてコードを実行してしまうと、攻撃者が意図した通りの操作を行うことになります。
一般的にイメージされる「サイバー攻撃」とは違い、Self-XSS攻撃はユーザーが使用する正規のアプリを通して機密データを取得するため、システム側での対策だけでなく、ユーザーが普段から注意することが重要です。