ブログ
ブラウザーのセキュリティ、分離、そしてBromureの背景にある考え方を詳しく解説します。
あなたのコーディングエージェントは偽の Bitwarden をインストールしました
4 月 22 日、誰かが @bitwarden/[email protected] という名前の悪意ある npm パッケージをアップロードしました。これはタイポスクワットで、実行したマシンから SSH 鍵、AWS/Azure/GCP のクレデンシャル、GitHub トークン、npm 公開トークン、kubeconfig を一掃します。このパッケージが餌にしようとしているのは、まさに今どきのコーディングエージェントが何も考えずにやっていること――npm が返してきたものを片っ端からインストールすることです。本記事では、その攻撃チェーンの姿と、エージェントをラップトップではなく Bromure の VM の中で動かしたときに何が変わるかを示します。
電話はヘルプデスクの内側からかかっていた
BlackFileと呼ばれる新たな恐喝集団が、小売やホスピタリティ業界の従業員に電話をかけ、ITを名乗り、企業のものに見える偽のログインページに認証情報とワンタイムコードを入力させ、その後、本物のアカウントに自分たちのMFAデバイスを登録しています。電話そのものは、ブラウザに何ができようと影響を受けません。利用者が入力するページのほうは、別です。
Roblox のチート、OAuth の許可、そして $2M の Vercel 情報漏えい
今週公表された Vercel の侵害は、Context.ai の従業員が私物 PC に Roblox のエクスプロイトをダウンロードしたことに始まり、攻撃者が Vercel の顧客の環境変数を読み取るに至りました。今週出荷した Bromure Enterprise は、まさにこの連鎖のために作られています。
自らを組み立てたフィッシングページ
Cisco TalosのQ1 2026 IRレポートは、初期侵入経路としてフィッシングが再び首位に戻ったことを示しており、そのなかで、AI「バイブコーディング」ビルダーに起因するとTalosが帰属させた初の事例 — `*.softr.app`サブドメイン上に立ち上げられたOutlook Web Accessのクローンが、使い捨てのGoogleスプレッドシートへ資格情報を流出させていた事例 — を記録しています。URLレピュテーションでは、これを先読みできません。正しい答えは、スタックの下側にあります。
レンダラーは落ちる前提で ― MozillaがAIで見つけた271個のバグがブラウザセキュリティに意味すること
Claude Mythosの初期バージョンが、Mozillaが単一のFirefoxリリースで271個のセキュリティバグを見つけるのに役立ちました。正しい反応はパニックでも祝福でもありません。自分たちが出荷する、使う、あるいはその上に構築するすべてのブラウザについて、今なお何を前提とすべきかを、静かに再調整することです。
クリップボードがエクスプロイトである——ClickFixがすべての防御者を立ち往生させる場所
偽のCAPTCHAがPowerShellのワンライナーをクリップボードに書き込みます。ユーザーはWin+Rを押して貼り付ける。サンドボックス脱出もゼロデイも署名付きバイナリも不要——人間こそがエクスプロイトです。これに対して私たちが今日出荷しているもの、まだ残る隙間、そしてmacOS 26.4でAppleが正しくやったこと、間違えたことを示します。
最初の一歩で止まる、九段階の攻撃
Microsoftは、ヘルプデスクを装った外部からのTeamsメッセージに始まり、Rcloneがネットワーク共有を静かに持ち出して終わる、九段階のランサムウェア攻撃チェーンを記録しました。そのうち八段階は、ホストのオペレーティング・システムを必要とします。タブを相手にして動くものは、一つもありません。
ストアこそが脅威のとき — 108本の悪意あるChrome拡張機能、1台のC2、2万件のインストール
たった一人のオペレーターが、5つの偽のパブリッシャー名義でChrome Web Storeに108本の悪意ある拡張機能を送り込み、およそ2万件のインストールを集め、それらすべてを1台のコマンド・アンド・コントロール・サーバーへと中継しました。レビュー体制はこれを見抜けませんでした。セキュリティ優先のブラウザがもっと強い立場を取らなくてはならない理由は、ここにあります。
Bromureがご両親に届く前にフィッシングを止める仕組み
Bromureのアンチフィッシングを順を追って詳しく解説します — ローカルスイープ、モデル、判定、そしてご両親、祖父母、廊下の向かいに住むお隣さんのためにこそ、私たちがこれを作った理由。
LinkedInのBrowserGateと、ブラウザのアイデンティティが一つでは足りなくなった理由
LinkedInは、訪問のたびに6000以上のブラウザ拡張機能を静かに探り、48個のデバイス属性を収集し、WebRTC経由であなたのLAN IPを抜き取っています。その解決策はプライバシー設定ではなく、別の形をしたブラウザです。
設計によって信頼をつくる — Bromureを支える思想
ウェブは敵意に満ちており、セキュリティ上の助言は機能せず、AIがルールそのものを変えてしまいました。利用者の肩の荷を下ろすブラウザを私たちが作った理由をお話しします。
ブラウザのゼロデイがなくならない理由と、Bromureがそれに対して何をするのか
AppleとGoogleは今や、ブラウザのバグを見つけて修正するために年間数千万ドルを投じています。それでも、活発に悪用されているブラウザのゼロデイは毎年8件から10件も発生しています。本記事では、なぜこの構図が変わらないのか、Claude Mythosと「Vulnpocalypse」がなぜそれをさらに悪化させようとしているのか、そして「侵害されることを前提に設計されたブラウザ」がなぜ別種のプロダクトなのかを論じます。
Bromureは、ページが目にする前に広告を遮断します
ほとんどの広告ブロッカーはブラウザ拡張機能であり、そしてほとんどのブラウザ拡張機能は、守ろうとしているページと同じプロセスの中で動いています。Bromureはそれを違うやり方でこなします。その方法と、なぜそれが重要なのかをお話しします。
現代のランサムウェアはどう侵入するのか — そしてBromureはどう扉を閉ざすのか
ほとんどのランサムウェアはゼロデイから始まりません。始まりは一つのブラウザタブです。2026年における攻撃チェーンが実際にどう動くのか、そして最初から打撃を吸収するために作られたブラウザに着地すると何が起きるのかをお話しします。
Bromure内でVPNを動かす — そしてCloudflare WARPのやさしい入門
VPNが実際に何をするのか、何をしないのか、Bromureのプロファイルごとに動かすと匿名性の物語がどう変わるのか、そしてCloudflare WARPが内部でどう働いているのかを巡ります。