マイクロソフトProject Ire、LOTUSLITE新種を特定:AIによる自律的マルウェア解析の最前線
マイクロソフトProject IreによるLOTUSLITE亜種の自律的解析
マイクロソフトの研究チームは、自律型マルウェア分類エージェント「Project Ire」が、既知の脅威であるLOTUSLITEの新たな亜種を特定したことを発表しました。この特定は、従来のシグネチャベースの検出や手動分析では見過ごされがちな、TTP(ツール、戦術、手順)は共通するものの、IoC(侵害指標)が異なるマルウェア亜種を捕捉するIreの優れた能力を浮き彫りにしています。
今回Ireに分析されたLOTUSLITEの亜種は、Acronisによって以前に文書化されたWindows DLLバックドアに属しますが、そのハッシュはAcronisのIoCリストには含まれていませんでした。さらに、2026年6月4日時点では、主要なEDR(CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto、ESETなど)のほとんどがこの検体をマルウェアとしてフラグ付けしていませんでした。このような「ブラインド」な状況下で、Ireは検体の起源メタデータやテレメトリ、アナリストからのプロンプトなどのコンテキスト情報なしに機能しました。
Ireは、インストールルーチン、C2パケットレイアウト、コマンドID、永続化メカニズム、難読化といった機能ごとの振る舞いレポートを生成し、これがAcronisの公開分析と完全に一致する結果となりました。この成果は、シグネチャマッチングや手動検査が不十分な場合に、振る舞いベースのエージェント型リバースエンジニアリングがいかに効果的であるかを示すものです。LOTUSLITE自体は、2026年3月に初めて観測されたバックドア型マルウェアであり、インドおよび韓国の銀行、金融サービス、政府機関、外交機関などを標的とし、Mustang Pandaとして知られるAPTアクターに関連付けられています。このマルウェアは、DLLサイドローディングや高度なAPI解決技術、難読化を駆使して検出を回避するように設計されています。
AI駆動型リバースエンジニアリングの技術的深層
Project Ireは、大規模言語モデル(LLM)を基盤とした自律型AIエージェントであり、マルウェア分類の「ゴールドスタンダード」とされる、起源や目的に関する事前情報なしにソフトウェアファイルを完全にリバースエンジニアリングするプロセスを自動化します。このシステムは、低レベルのバイナリ分析から制御フロー再構築、コード振る舞いの高レベル解釈に至るまで、多岐にわたる分析を実行します。
Ireのアーキテクチャは、LLMが専門ツール群をAPIを通じて呼び出すことで、調査と判断を推進する点に特徴があります。これには、以下のようなステップが含まれます:
-
自動リバースエンジニアリングツールによるファイル分析: ファイルタイプ、構造、潜在的な関心領域を特定します。
-
制御フローグラフの再構築: angrやGhidraといったフレームワークを使用してソフトウェアの制御フローグラフを再構築します。
-
LLMによる専門ツールの呼び出し: LLMがAPIを通じて専門ツールを起動し、主要な機能を特定・要約します。例えば、MicrosoftのProject Fretaに基づくメモリ分析サンドボックス、カスタムツール、オープンソースツール、ドキュメント検索、複数のデコンパイラが利用されます.
-
検証ツールによる結果検証: システムはバリデータツールを呼び出し、その発見が判断に用いられた証拠と一致するかを検証し、成果物を分類します。
初期テストでは、Project Ireは公開されているWindowsドライバーのデータセットにおいて、90%のファイルで正しい検出を行い、良性ファイルの誤検出率をわずか2%に抑えるという高い精度を示しました。さらに、約4,000の「難攻不落」なファイルを対象とした評価では、悪意のあるファイルの約90%を正しく分類し、誤検出率は4%でした。このプロトタイプは、Microsoft Defender組織内で「Binary Analyzer」として活用され、脅威検出とソフトウェア分類を強化することが期待されています。Ireの最終的なビジョンは、既知の脅威だけでなく、メモリ内の新たなマルウェアを大規模に直接検出することです。
開発者・エンジニア視点での考察
-
振る舞いベース分析の重要性と適用範囲の拡大: Project IreによるLOTUSLITE亜種の特定事例は、シグネチャや既知のIoCに依存する従来のセキュリティアプローチの限界を明確に示しています。AIエージェントによる機能ごとの振る舞い分析は、ポリモーフィックな脅威やゼロデイエクスプロイト、さらには正規のツールを悪用する「Living off the Land」攻撃など、多様な脅威に対する防御の最前線となります。AI開発者は、異常検知、因果推論、強化学習といった技術を応用し、より複雑な脅威の振る舞いをモデル化する研究に注力すべきです。
-
LLMと専門ツールのハイブリッドアーキテクチャの有効性: IreのLLMを核としたエージェントモデルは、既存の専門的なリバースエンジニアリングツール(Ghidra, angrなど)をAPIを通じて統合し、その出力を解釈・活用することで高度なタスクを自律的に実行しています。この「LLM + ツール」のハイブリッドアーキテクチャは、サイバーセキュリティに限らず、他の複雑なドメインにおけるエージェントシステムの設計において強力なパラダイムを示唆します。特に、ツール選択、実行、結果解釈、意思決定のループを最適化するエージェントフレームワークの開発が、今後のAI開発の重要な方向性となるでしょう。
-
セキュリティ分析業務の自動化と人的リソースの最適化: マルウェア解析は時間と専門知識を要する作業であり、セキュリティアナリストの負担は増大の一途を辿っています。Project Ireのようなシステムは、この手動作業の大部分を自動化し、アナリストがより戦略的な脅威インテリジェンスの構築、プロアクティブな防御戦略の策定、または高度な脅威ハンティングに集中できる環境を提供します。開発者は、AIが生成する分析レポートの透明性(「chain of evidence」など)と解釈可能性を高めることで、人間とAIの協調作業を強化し、セキュリティオペレーション全体の効率と効果を最大化するためのインターフェースやワークフローの設計に貢献できます。
Source / 元記事
この記事について
この記事は、公開されているニュース、論文、公式発表、RSSフィードなどをもとに、AIが要約・補足調査・考察を行って作成しています。
元記事の完全な翻訳・逐語的な要約ではなく、AIによる背景説明や開発者向けの考察を含みます。
重要な技術仕様・価格・提供状況などは、必ず元記事または公式情報をご確認ください。
