2018年02月23日 21時00分 セキュリティ

CSSをハックしてパスワードを盗み取るキーロガーが登場

By Christoph Scholz



CSSは、使用するフォントやパーツの色合いなどウェブページのスタイルを指定するファイルですが、そのCSSだけを用いてパスワードを盗み取るコードがGitHub上で公開されています。



GitHub - maxchehab/CSS-Keylogging: Chrome extension and Express server that exploits keylogging abilities of CSS.

https://github.com/maxchehab/CSS-Keylogging





仕組みとしては、パスワード欄へ文字が入力されるたびにその末尾の文字を取得し、その文字に応じた画像を外部のサーバーからダウンロードするというもの。例えば「a」と入力された場合は「http://keylogger.site/a」にアクセスするという具合です。アクセスされた外部のサーバーにはアクセス履歴が残るため、そのアクセス履歴を見れば入力されたパスワードが何だったのか判別できるということです。





ただし、パスワード欄の文字を取得するためにはWebページが「React」など特定のフレームワークを使って作成されている必要があり、有名なサイトではFacebookやInstagramなどが該当します。



なお、パスワードマネージャーやブラウザのパスワード記憶機能などを用いてパスワードを入力すれば大丈夫という報告も上がっていますが、しばらくの間は信用できないCSSをStylishなどを用いて独自に適用するのはやめておいた方が良さそうです。