マルウェアかどうかを自律的に判別できるAIエージェント

Microsoftは8月5日、ソフトウェアを分析しマルウェアかどうかを判断する自律型AIエージェントのプロトタイプ「Project Ire」を発表した。

　Project Ireは、Microsoft Research、Microsoft Defender Research、Microsoft Discovery & Quantumが共同で開発したAIエージェント。セキュリティの専門知識や運用の知見、グローバルのでのマルウェアのテレメトリ、AI研究などの結果を融合したものだという。高度な言語モデルとリバースエンジニアリングやバイナリ分析ツールなどを組み合わせ、マルウェアの判断や調査を行なう。

　マルウェアの分類は、ほかのセキュリティ関連のAIアプリケーションと異なり、これまで専門家の評価なくAIのみで判断を下すことが困難で、自動化なども難しかったという。

　Project Ireでは、リバースエンジニアリングツールによりファイルの種類や構造などを特定。ソフトウェアの制御フローグラフを再構築し、大規模言語モデルが専用ツールを通じて主要な機能を識別する。得られた分析結果と検証ツールによるクロスチェックを経て、サンプルがマルウェアかどうかを分類する。

　Windowsドライバのデータベースを使った評価では、すべてのファイルの90%を正しく識別し、無害なファイルの2%を脅威として判断したという。また、自動システムで分類されていない約4,000件のファイルを使った評価においても、約9割の確率で悪意あるファイルを正しく判別。誤検知は4%程度だったという。

　今後は、Microsoft Defender内で脅威検出とソフトウェア分類を行なうBinary Analyzerとして活用するほか、速度や精度の向上、メモリ内での新規マルウェアの直接検知などを目指すとしている。