2025年8月6日Ravie Lakshmanan人工知能 / 脅威検出
Microsoftは火曜日、自律型人工知能(AI)エージェントを発表しました。このエージェントは、マルウェア検出の取り組みを進めるために、支援なしでソフトウェアを分析・分類することができます。
大規模言語モデル(LLM)を活用した自律型マルウェア分類システムは、現在プロトタイプ段階であり、テックジャイアントによってProject Ireというコードネームが付けられています。
このシステムは「マルウェア分類のゴールドスタンダードとされるもの、すなわちソフトウェアファイルの出自や目的に関する手がかりが一切ない状態で、完全にリバースエンジニアリングを自動化します」とMicrosoftは述べています。「デコンパイラやその他のツールを利用し、それらの出力をレビューして、ソフトウェアが悪意のあるものか無害なものかを判断します。」
Windowsの開発元であるMicrosoftによれば、Project Ireはマルウェア分類の大規模化、脅威対応の迅速化、そしてアナリストがサンプルを調査し悪意の有無を判断するために必要な手作業の削減を目指す取り組みです。
具体的には、専用ツールを用いてソフトウェアをリバースエンジニアリングし、低レベルのバイナリアナリシスから制御フローの再構築、コード挙動の高レベル解釈に至るまで、さまざまなレベルで分析を行います。
「ツール利用APIにより、Project Freta(新しいタブで開く)を基盤としたMicrosoftのメモリアナリシスサンドボックス、カスタムおよびオープンソースツール、ドキュメント検索、複数のデコンパイラなど、幅広いリバースエンジニアリングツールを用いてファイルの理解を更新できます」とMicrosoftは述べています。
Project FretaはMicrosoft Researchの取り組みであり、ルートキットや高度なマルウェアなど、検出されていないマルウェアの発見スイープを可能にします。これは、メモリアudit中にライブLinuxシステムのメモリスナップショットを解析するものです。
評価は複数のステップで構成されています――
- 自動化されたリバースエンジニアリングツールがファイルタイプ、その構造、および注目すべき領域を特定する
- システムはangrやGhidraなどのフレームワークを使ってソフトウェアの制御フローグラフを再構築する
- LLMがAPI経由で専用ツールを呼び出し、主要な関数を特定・要約する
- システムはバリデータツールを呼び出し、判定に至った証拠と照合して成果物を分類する
要約結果には、システムがどのように結論に至ったかを詳細に記録した「証拠の連鎖」ログが残されます。これにより、セキュリティチームは誤分類があった場合にプロセスをレビューし、改善することができます。
Project Ireチームが公開されているWindowsドライバのデータセットで実施したテストでは、分類器が全ファイルの90%を正しくフラグ付けし、無害なファイルを脅威と誤認する割合はわずか2%でした。さらに約4,000件の「ハードターゲット」ファイルの評価では、悪意のあるファイルの約9割を正しく悪意ありと分類し、偽陽性率はわずか4%でした。
「これら初期の成功を受けて、Project IreのプロトタイプはMicrosoftのDefender組織内でBinary Analyzerとして脅威検出およびソフトウェア分類に活用されます」とMicrosoftは述べています。
「私たちの目標は、あらゆるソースからのファイルを初見でも正確に分類できるよう、システムの速度と精度を拡張することです。最終的には、メモリ上で新種のマルウェアを大規模に直接検出することを目指しています。」
この開発は、Microsoftが2024年に脆弱性報告プログラムを通じて、59カ国344人のセキュリティ研究者に過去最高となる1,700万ドルの報奨金を授与したと発表したタイミングで行われました。
2024年7月から2025年6月までに合計1,469件の有効な脆弱性報告が提出され、最高額の個別報奨金は20万ドルに達しました。昨年は、同社は55カ国343人のセキュリティ研究者に1,660万ドルの報奨金を支払いました。
翻訳元: https://thehackernews.com/2025/08/microsoft-launches-project-ire-to.html