このページの内容

Self-XSS攻撃について

誰かに指示されてMisskeyを操作していたら、上図のような画面に遭遇してこのページに辿り着きましたか? おそらくあなたは悪意ある攻撃者に騙されています。

入力しろと指示された内容(おそらくプログラムです)を入力しない限り、指示していた攻撃者に情報が送信されることはありません。すぐに作業を中止してください。

この画面は開発者がコードの確認やバグ修正に使うための「コンソール」と呼ばれるツールで、通常の利用でこの画面を必要とすることはありません。

もう少し詳しく

Self-XSS攻撃では、攻撃者がユーザーをだまして、ブラウザの開発者ツールに悪意のあるプログラムコードを貼り付けさせます。この際、ユーザーには以下のような文句で誘導させます:

  • 隠し機能や特典を開放できる
  • セキュリティテストのためにこのコードを実行してみてほしい
  • ウェブサイトをハッキングして不正にポイントを入手できる

このような文句に騙されてコードを実行してしまうと、攻撃者が意図した通りの操作を行うことになります。

一般的にイメージされる「サイバー攻撃」とは違い、Self-XSS攻撃はユーザーが使用する正規のアプリを通して機密データを取得するため、システム側での対策だけでなく、ユーザーが普段から注意することが重要です。