マイクロソフトは、マルウェアをグローバル規模で正確に分類できる新しいAIエージェント「Project Ire」を発表しました。
Black Hat USA 2025で発表されたProject Ireは、ソフトウェアファイルの出自や目的に関する手がかりが全くなくても、完全にリバースエンジニアリングすることが可能です。デコンパイラやその他のツールを用いてソフトウェアの出力を解析し、それが悪意のあるものか無害なものかを判断します。
このシステムは、先進的な言語モデルと呼び出し可能なリバースエンジニアリングおよびバイナリアナリシスツールのスイートを活用して、調査と判断を行います。
このプロトタイプエージェントは、実際の運用環境で自動システムによって分類されなかった約4000件の「ハードターゲット」ファイルを含む一連のテストで、その有効性を示しました。
これまでに、Project IreはWindowsドライバの公開データセットを用いたテストで、精度0.98、再現率0.83を達成したと、マイクロソフトのブログ(8月5日付)は伝えています。
「Project Ireは、マイクロソフトで初めて、人間・機械を問わず、特定の高度持続的脅威(APT)マルウェアサンプルに対して自動ブロックを正当化できるほど強力な検出(有罪判決)を行ったリバースエンジニアです。このサンプルはその後、Microsoft Defenderによって特定・ブロックされました」と、Project Ireの研究者らは記しています。
Project Ireはまた、自身の初期調査結果をクロスチェックするバリデーターツールを呼び出すことも可能です。このツールは、Project Ireチームのマルウェアリバースエンジニアによる専門的な見解を活用します。これらの証拠と内部モデルに基づき、システムは最終レポートを作成し、サンプルを悪意ありまたは無害として分類します。
AIエージェントの開発には、セキュリティの専門知識や運用知識を持つチーム、グローバルなマルウェアテレメトリーやAI研究のデータを活用するチームなど、さまざまなマイクロソフトのチームが協力しました。
Project Ire、マイクロソフト顧客向けに提供開始
初期テストの成功を受け、Project IreのプロトタイプはMicrosoft Defender組織内で脅威検出やソフトウェア分類のためのバイナリアナライザーとして活用されます。
「私たちの目標は、どんな出所のファイルでも初回の遭遇時から正しく分類できるよう、システムの速度と精度を拡大することです。最終的には、メモリ上で新種のマルウェアを大規模に直接検出することを目指しています」と研究者は述べています。
このエージェントは、セキュリティアナリストが経験する燃え尽き症候群やアラート疲れの解消にも貢献することを目指しています。
従来のAIマルウェア解析ツールは、サンプルが悪意あるものか無害かを明確に示すことができず、アナリストは各サンプルを一つずつ調査せざるを得ないと、マイクロソフトは指摘しています。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-ai-agent-reverse/