マイクロソフトは火曜日、ソフトウェアファイルを分析してマルウェアが隠されているかどうかを判断できる、プロトタイプの自律型AIエージェント「Project Ire」を発表しました。
マイクロソフトによると、Project Ireは事前の情報なしに自律的にソフトウェアをリバースエンジニアリングし、分類することができ、複雑になりがちなプロセスを自動化・拡張します。
Project Ireは、Microsoft Research、Microsoft Defender Research、Microsoft Discovery & Quantumのチームによって開発されました。
このプロジェクトは、デコンパイラやその他のツールを使用してデータを収集し、ファイルが無害か悪意があるかを判断できるようにし、同時に追跡可能な証拠の連鎖も提供します。
「このシステムのアーキテクチャは、低レベルのバイナリアナリシスから制御フローの再構築、コード動作の高レベルな解釈まで、複数のレベルで推論を可能にします」とマイクロソフトは説明しています。
さらに、「ツール利用APIにより、Project FretaをベースにしたMicrosoftのメモリアナリシスサンドボックス、カスタムおよびオープンソースのツール、ドキュメント検索、複数のデコンパイラなど、幅広いリバースエンジニアリングツールを使ってファイルの理解を更新できます」と述べています。
Project Ireの目標は、アナリストのミスや疲労を減らし、脅威対応を加速し、進化する攻撃への防御を強化することだとマイクロソフトは述べています。
マイクロソフトが悪意のあるソフトウェアと無害なソフトウェアの両方を含むWindowsドライバのデータセットで実施したテストでは、Project Ireは90%のファイルを正しく識別し、無害なファイルのうち危険と誤判定したのはわずか2%でした。
広告。スクロールして続きをお読みください。
別のテストでは、約4,000件のファイルを対象に、人間の専門家によるリバースエンジニアリングと分析が予定されていたものに対し、Project Ireは悪意のあるファイルのうち10件中9件を正しく悪意ありと判定し、誤検知率はわずか4%でした。しかし、実際のマルウェア全体の約4分の1しか検出できませんでした。
マイクロソフトは、全体的なパフォーマンスは中程度だったと認めつつも、テスト条件が厳しかったこと、そして結果は「今後の展開に向けた現実的な可能性」を示していると主張しました。
「これら初期の成功を踏まえ、Project Ireのプロトタイプは、Microsoft Defender組織内で脅威検出およびソフトウェア分類のためのBinary Analyzerとして活用されます」とマイクロソフトは述べています。
「私たちの目標は、あらゆるソースからのファイルであっても初めて遭遇した場合でも正確に分類できるよう、システムの速度と精度を拡張することです。最終的には、メモリ上で新種のマルウェアを大規模に直接検出することを目指しています」と付け加えました。