Brave – IoT OT Security News

Brave 対 Microsoft Recall：洗練されたソユーションによるプライバシー保護

Brave Browser Blocks Microsoft Recall by Default Due to Privacy Concerns

2025/07/23 CyberSecurityNews — Brave ブラウザがバージョン 1.81 以降において導入する重要なプライバシー保護対策は、Windowsユーザー向けに Microsoft が提供して物議を醸している、Recall 機能のデフォルトでのブロックである。Microsoft の Recall とは、ユーザー・アクティビティのスクリーンショットを自動的に取得し、ローカル・データベースに保存するものだ。したがって、この Brave の決定は、ユーザー・プライバシーおよびデータ・セキュリティに関する懸念の高まりを反映するものとなっている。

Brave の Cookiecrumbler が OSS 化：AI を用いて Cookie 同意通知をブロック

Brave’s Cookiecrumbler tool taps community to help block cookie notices

2025/04/27 BleepingComputer — Brave の Cookiecrumbler という新しいツールが、オープンソース化された。このツールは、大規模言語モデル (LLM) を用いて Cookie 同意通知を検出し、コミュニティ主導のレビューに基づき、サイトの機能に支障をきたさない通知をブロックするものだ。

Brave に “Custom Scriptlets”という新機能が追加：ブラウジングのカスタマイズなどが可能に

Brave now lets you inject custom JavaScript to tweak websites

2025/02/09 BleepingComputer — Brave ブラウザに “Custom Scriptlets”という新機能が追加される。この機能を活用する上級ユーザーは、独自の JavaScript を Web サイトに挿入し、ブラウジング・エクスペリエンスの詳細なカスタマイズおよび制御を可能にできる。

Brave の脆弱性 CVE-2025-23086 がFIX：オリジン URL 表示の問題

Brave Desktop Browser Vulnerability Lets Malicious Sites Appear Trusted

2025/01/27 HackRead — 人気の Brave ブラウザに発見された、深刻なセキュリティ脆弱性を悪用する Web サイトによりユーザーが騙され、信頼できるソースとやり取りしていると信じ込まされている状況が判明した。この脆弱性 CVE-2025-23086 (CWE-60) は、Brave デスクトップ版の 1.70.x 〜 1.73.x に影響を及ぼすものだ。

Google の発表：Chrome 謹製のエクステンションであっても無効化される？

Google will disable some of its own Chrome extensions soon

2024/09/05 ghacks — Google Chrome エクステンションを使用しているユーザーにとって、ある日突然に、一部のエクステンションにアクセスできなくなる可能性が生じている。この問題は、サードパーティのエクステンションだけでなく、Google が Chrome 用に作成したエクステンションにも当てはまる。いま、Google は、Chrome のエクステンション・システムを変更している。新しいシステムへとアップデートされていない古いエクステンションは、無効化され、最終的にはブラウザから削除されるという。

Brave Browser のユーザーが急増：2024年5月に過去最大の伸びを記録

Brave says May 2024 was its biggest growth month ever

2024/06/09 BleepingComputer — プライバシー重視の Web ブラウザである Brave は、2024年5月に過去最大の伸びを記録し、その月間ユーザー数は 7.3％増の 7,895万人以上となった。Brave は、特に中南米で急成長を遂げ、いくつかの国で Google Play ストアのトップ・アプリのひとつとなった。

Enterprise Browser Buyer’s Guide：企業にとって重要な視点を提供する

The Definitive Enterprise Browser Buyer’s Guide

2024/01/02 TheHackerNews — 現代の企業環境において、Web ブラウザは重要な役割を担っている。したがって、その管理／保護の方法の再評価が必要であると、セキュリティ関係者たちは認識し始めている。Web に起因するリスクは、エンドポイント／ネットワーク／クラウドなどの各ソリューションの、パッチワークのようなもので対処されてきたが、それらのソリューションが個別に提供する部分的な保護では、もはや不十分であることが明らかだ。

Rilide という最凶の Chrome エクステンション：PowerPoint ファイルなどがルアー

Chrome malware Rilide targets enterprise users via PowerPoint guides

2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome／Edge／Brave／Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。

Google が提案する WEI API：大反対する Vivaldi／Brave／Firefox などの言い分は？

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi／Brave／Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。

Brave Browser の新機能：ローカル・リソース制限でプライバシー保護を強化

Brave Browser boosts privacy with new local resources restrictions

2023/06/28 BleepingComputer — Brave の開発チームは、そのプライバシー重視のブラウザに対して、新しい制限コントロールを近々導入すると発表した。この新機能により、ローカル・ネットワーク・リソースにアクセスできるサイトの期間を、ユーザーが設定できるようになる。ローカルにホストされたリソースには、ユーザーのデバイス上において、Web プログラムが使用する画像やファイルが含まれる。その他のローカル・リソースには、NAS インスタンス／ローカルにホストされたサーバ／共有ネットワーク・プリンター・ファイル／共有ネットワーク・デバイス／共有コンピューター・データなどがある。

Brave の Forgetful Browsing という新機能：ファーストパーティ追跡を Stop！

Brave unveils new “Forgetful Browsing” anti-tracking feature

2023/05/14 BleepingComputer — Brave Browser は、プライバシーに配慮した Web ブラウザである。そして、新たな機能として、同じ Web サイトに再訪問したといきに、そのサイトがあなたを特定することを防ぐ Forgetful Browsing を導入する。この新機能は、指定した Web サイトの Cookie だけでなく、そのサイトを閉じた際にローカル・ストレージやキャッシュに残っているデータもクリアする。それにより、ユーザーはサイトから自動的にログアウトすることになるが、次回以降に同サイトにアクセスした際の、再識別を防ぐことが可能になる。

Facebook を攻撃する NodeStealer は情報窃取マルウェア：セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta／Gmail／Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。

ViperSoftX 情報スティーラー：KeePass／1Password も標的にする最凶のマルウェアとは？

ViperSoftX info-stealing malware now targets password managers

2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。

Rilide マルウェアは Chromium を狙う：偽物の Google Drive エクステンションに要注意

New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency

2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視／スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。

SYS01stealer という情報スティーラーを発見：Facebook ビジネス・アカウントなどが標的

SYS01stealer: New Threat Using Facebook Ads to Target Critical Infrastructure Firms

2023/03/07 TheHackerNews — サイバー・セキュリティ研究者たちが発見したのは、政府／インフラ／製造業などを標的とする、SYS01stealer という名の新しい情報スティーラーである。 Morphisec は、「このキャンペーンのターゲットは、Facebook のビジネス・アカウントだ。この脅威アクターは、ゲーム／アダルトコンテンツ／クラックソフトウェアなどを宣伝する、Google 広告や Facebook の偽プロファイルを使用して、悪意のファイルをダウンロードするように、被害者たちを誘導する。この攻撃は、ログインデータ／クッキーだけではなく、Facebook ビジネスアカウント情報などの、機密情報を盗むために設計されている」と、The Hacker News と共有したレポートで詳述している。

Brave Search が Summarizer を搭載：検索結果を AI で処理／表示するサービスを開始

Brave Search launches AI-powered summarizer in search results

2023/03/03 BleepingComputer — ユーザーが入力した質問に対して、要約された回答を検索結果よりも優先して提供する、新しい AI 搭載のツール Summarizer が、Brave Search に導入された。Brave Search は、ユーザーを追跡することなく匿名で Web 検索ができる、急成長中のプライバシー重視のインターネット検索エンジンである。いま、検索機能に AI 革命が起こっている。すでに Microsoft は、ChatGPT のアップグレード版を Bing 検索エンジンに組み込み、近い将来には Google も、Bard という独自の AI モデルで同様の機能を実装する予定だという。

Web Browser Security Report 2023：ブラウザのリスクと検証の盲点について詳述する

2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

2023/03/02 TheHackerNews — 今日の企業環境における主要な作業用インターフェースとして、Web ブラウザが重要な役割を担っている。Web ブラウザは、従業員の管理／非管理デバイスで使用され、Web ブサイト／SaaS アプリケーション／社内アプリケーションへのアクセスを実現している。ブラウザ・セキュリティ・ベンダーである LayerX が発表した最新レポートによると、この現実を悪用する攻撃者たちは、数多くのブラウザを標的にし、ユーザー組織におけるリスクが高まっていることが判明した。

Brave のユーザー保護機能が前進：open in app のブロックで pool-party 攻撃に対抗

Brave browser to block “open in app” prompts, pool-party attacks

2023/02/24 BleepingComputer — プライバシー保護に特化したブラウザ Brave の次期メジャー・バージョンでは、”open in app” のような煩わしいプロンプトがブロックされ、pool-party 攻撃に対する保護の強化が始まる予定だという。この、邪魔な “open in app” ポップアップは、ブラウザのプライバシー保護機能が適用されない空間へと、訪問者を連れて行くことを目的としており、広範なユーザー・データが、アプリの作成者により自由に収集される可能性を生じる。

PyPI に 451 個のタイポスクワッティング・パッケージ：Chrome エクステンションを侵害

451 PyPI packages install Chrome extensions to steal crypto

2023/02/13 BleepingComputer — 暗号ウォレットや Web サイトを介した暗号通貨取引をハイジャックするために、450 個以上の悪意の PyPI Python パッケージが、悪意のブラウザ・エクステンションをインストールしていることが確認されている。2022年11月の時点で、わずか 27個の悪意の PyPI パッケージから始まったキャンペーンだが、この数ヶ月で大きく拡大している。

PyPI パッケージに潜む W4SP Stealer：あらゆる機密情報を盗み取る

Devs targeted by W4SP Stealer malware in malicious PyPi packages

2023/02/12 BleepingComputer — Python Package Index (PyPI) 上で発見された５つの悪意のパッケージは、無防備な開発者からパスワード／Discord 認証クッキー／暗号通貨ウォレットを盗み出すものだ。PyPI とは、プログラミング言語 Python で作成されたパッケージのためのソフトウェア・リポジトリであり、約 20万個のパッケージをホストしている。そのため、開発者は各種のプロジェクト要件を満たす、既存のパッケージを見つけることが可能となり、時間と労力を節約できる。

Brave ブラウザの新機能 Snowflake：Tor へつなぐ検閲回避のフリーウェイだ

Brave browser’s new Snowflake feature help bypass Tor blocks

2023/01/14 BleepingComputer — 昨日にリリースされた Brave Browser 1.47 には、Snowflake エクステンションが追加されている。この機能により、自分のデバイスを Tor に接続するためのプロキシに設定し、検閲対象国に在住するユーザーを支援できるようになった。すでに Brave は、2022年9月にリリースされたバージョン 1.44 で、Private Windows with Tor の Tor Bridges に対応しており、同社独自のリソースを使って、検閲を回避するユーザーを支援してきた。

Google 検索の広告を悪用：マルウェアを正規のソフトウェアに仕込んで配布

Hackers abuse Google Ads to spread malware in legit software

2022/12/28 BleepingComputer — Google Ads のプラットフォームを悪用するマルウェアのオペレーターが、人気のソフトウェア製品を検索している無防備なユーザーに対して、マルウェアをばらまくというケースが増加している。これらのキャンペーンにおいて、なりすましに利用されているのは、Grammarly／MSI Afterburner／Slack／Dashlane／Malwarebytes／Audacity／μTorrent／OBS／Ring／AnyDesk／Libre Office／Teamviewer／Thunderbird／Brave などの製品である。

DuckDuckGo が Google に強硬手段：SSO サインイン・ポップアップをブロック

DuckDuckGo now blocks Google sign-in pop-ups on all sites

2022/12/22 BleepingComputer — DuckDuckGo の全てのアプリ／エクステンションは、Google サインインのポップアップをブロックする。つまり、ユーザーにとって迷惑でプライバシー・リスクであると、 DuckDuckGo が見なすものとして排除することになるし。DuckDuckGo が提供するのは、プライバシーに特化した検索エンジン／メールサービス／モバイルアプリ／データ保護用ブラウザ・エクステンションなどである。また、スタンドアロンの Web ブラウザも開発中だが、現在は macOS 向けのベータ版のみ利用可能だ。

Brave が FrodoPIR を発表：プライバシーに配慮したデータベース・クエリを実現

Brave launches FrodoPIR, a privacy-focused database query system

2022/12/22 BleepingComputer — Brave Software の開発者たちは、ユーザーのクエリの内容を開示することなくサーバーからデータを取得する、プライバシー重視の新しいデータベース・クエリ・システム FrodoPIR を開発した。Brave は、Brave Browser に搭載される予定の漏洩認証情報チェッカーに FrodoPIR を使用し、チェックしたユーザー名とパスワードをサーバに開示することなく、既知のデータ・ダンプに照合することを計画しているという。

Chrome の悪意のエクステンション VenomSoftX：Google Sheets を装い暗号通貨を窃取

Google Chrome extension used to steal cryptocurrency, passwords

2022/11/21 BleepingComputer — VenomSoftX という情報窃取型の Google Chrome エクステンションが、Windows マルウェアにより展開され、ユーザーの暗号通貨やクリップボードの内容を窃取している。この Chrome エクステンションは、Windows マルウェア ViperSoftX によりインストールされ、JavaScript ベースの RAT (Remote Access Trojan) として、また、暗号通貨ハイジャッカーとして機能する。 ViperSoftX は 2020年から存在しており、Cerberus と Colin Cowie のセキュリティ研究者により、また、Fortinet のレポートにより、以前から公表されている。

Chromium アプリ・モードの危険性：Chrome／Edge／Brave ユーザーの盲点を突く攻撃手法

Web browser app mode can be abused to make desktop phishing pages

2022/10/03 BleepingComputer — Chrome のアプリケーション・モード機能を利用した、デスクトップ・アプリとして表示されるローカル・ログイン・フォームから、新たなフィッシング手法を実施する脅威アクターが、認証情報を容易に盗み出しているという。このアプリ・モード機能は、Google Chrome／Microsoft Edge／Brave Browser などを含む、すべての Chromium ベースのブラウザで利用できる。この機能により、正規のログイン画面と見分けがつかない、リアルなログイン画面を生成することが可能となる。

Brave による Cookie 同意バナーの排除：Web における広告業界との戦いを開始

Brave browser to start blocking annoying cookie consent banners

2022/09/29 BleepingComputer — Brave ブラウザでは近々に、ユーザーが訪問する全ての Web サイトで、プライバシーを害する可能性のある、煩わしい Cookie 同意バナーをブロックできるようになる。ヨーロッパに在住する人々が、BleepingComputer のサイトを訪問する場合に、当社の広告主からのデータ収集クッキーを受け入れるかどうかを尋ねる、迷惑なクッキー同意プロンプトに気づいたかもしれない。

Chrome の深刻なバク：悪意の Web サイトによるクリップボード上書きが証明された

Google Chrome bug lets sites write to clipboard without asking

2022/08/31 BleepingComputer — Chrome Version 104 で、事故とも言えるバグの混入が発生した。それは、訪問した Web サイトから、クリップボードへの書き込みイベントを承認するための、ユーザー要件が削除されるというものだ。この機能は、Google Chromeに限ったものではない。Safari と Firefox も、Web ページからシステムのクリップボードへの書き込みを許可しているが、ジェスチャーによる保護が施されている。

macOS を狙うマルウェア XCSSET：Python 3 に対応してMonterey を執拗に追尾

XCSSET Malware Updates with Python 3 to Target macOS Monterey Users

2022/08/23 TheHackerNews — macOS マルウェア XCSSET のオペレーターは、そのソースコードを Python 3 にアップグレードすることで、macOS Monterey を侵害するための反復的な改良を行い、ステータスをアップさせている。SentinelOne の研究者である Phil Stokes と Dinesh Devadoss は「このマルウェア作者は、2020年の初期バージョンにおいては偽の Xcode.app に主要な実行ファイルを隠していたが、2021年には偽の Mail.app へと、そして、2022年には偽の Notes.app へと変更している」とレポートで述べている。

Google Chrome ゼロデイ脆弱性 CVE-2022-2856 が FIX：野放し状態での悪用を確認

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild

2022/08/17 TheHackerNews — 8月10日に Google は、デスクトップ用 Chrome ブラウザに存在する、深刻なゼロデイ脆弱性を修正するパッチを配布した。この脆弱性 CVE-2022-2856 は、Intents における信頼されていない入力に対する検証が、不十分なケースだと説明されている。Google Threat Analysis Group のセキュリティ研究者である Ashley Shen と Christian Resell は、2022年7月19日に、この不具合を報告したとされている。

Chrome／Chromium のブックマーク同期：データ流出の新たな経路になる可能性とは？

Chromium Browsers Allow Data Exfiltration via Bookmark Syncing

2022/08/02 DarkReading — ブックマーク同期機能は、最新のブラウザの標準機能となっている。この機能により、インターネット・ユーザーは、１つのデバイスで行ったブックマークへの変更を、すべてのデバイスで同時に反映させることができる。しかし、この便利なブラウザの機能は、サイバー犯罪者にとっても便利な攻撃経路となることが分かっている。つまり、ブックマークを悪用して、企業環境から大量のデータを吸い上げても、攻撃ツールや悪意のペイロードを忍び込ませても、ほとんど発見される心配がないのだ。

Facebook ページ担当者に迫る乗っ取りの脅威：LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Google Chrome に緊急パッチ：野放しで悪用されているゼロデイ脆弱性に対応

Google Releases Urgent Chrome Update to Patch Actively Exploited Zero-Day Flaw

2022/04/14 The Hacker News — 4月11日に Google は、同社の Web ブラウザ Chrome に存在する、２つのセキュリティ問題に対処するための緊急パッチを配布した。この深刻な脆弱性 CVE-2022-1364 は、V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因すると説明されている。Google Threat Analysis Group の Clément Lecigne が、この欠陥を 2022年4月13日に報告したとされている。

悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード／インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー／ユーザー名／パスワード／クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

Google Chrome／Chromium で発見された Spook.js サイドチャネル攻撃とは？

Spook.js – New side-channel attack can bypass Google Chrome’s protections against Spectre-style exploits

2021/09/10 DailySwig — Google Chrome を標的とする、サイドチャネル攻撃が新たに発見された。攻撃者は、この Web ブラウザのセキュリティ保護機能を回避し、Spectre 型攻撃を用いて機密情報を取得できる。この、Spook.js と名付けられたサイドチャネル攻撃は、投機的実行 (Spectre) 攻撃に対するChromeの防御機能を回避し、認証情報や個人情報などを盗み出すことができます。

Google の FLoC は Cookie を置き換えられるのか？

Vivaldi, Brave, DuckDuckGo reject Google’s FLoC ad tracking tech

2021/04/14 BleepingComputer — 先月に Google は、Chrome ブラウザとアド・サービス・サイトのプライバシー保護に特化した、Federated Learning of Cohorts (FLoC) と呼ばれる新機能を展開する計画を発表した。

Chromium_based ブラウザにリモート・コード実行の脆弱性が

RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers

2021/04/12 TheHackerNews — インドのセキュリティ研究者である Rajvardhan Agarwal が、Google Chrome/Microsoft Edge/Opera/Brave といった Chromium ベース・ブラウザで、新たに発見された脆弱性に対する PoC（proof-of-concept) エクスプロイト・コードを公開した。この PoC エクスプロイトは、それらの Web ブラウザに搭載されている V8 JavaScript レンダリング・エンジンに存在する、リモート・コード実行の脆弱性を利用するものである。