VirusTotal における AI の活用：マルウェア検出が 70% も向上している

AI Boosts Malware Detection Rates by 70%

2023/11/29 InfoSecurity — 脅威インテリジェンス共有プラットフォーム VirusTotal が発表したのは、マルウェア分析を強化するサイバー防御者たちが、AI を活用する方法を示す新たな調査結果である。VirusTotal が、この調査を通じて明らかにしたのは、AI が悪意のコードの解析に対して極めて有効であり、従来の手法と比較して 70% も多くの、悪意のスクリプトを特定する能力を持っていることだ。

また、一般的な脆弱性やエクスプロイトを持つ、デバイスを標的化する悪意のスクリプトの試みの検出についても、AI と従来の手法を比較すると、最大で 300% の正確性が得られることも確認されたという。

これらの調査結果は、Empowering Defenders というレポートに含まれるものであり、Google 傘下の VirusTotal が６カ月間にわたって、数十万ものマルウェア・サンプルを分析したものである。

スペインのマラガにある Google Safety Engineering Centre (GSEC) は、欧州における新たなフラッグシップ・サイバーセキュリティ・センターである。

VirusTotal の Threat Intelligence Analyst である Vincent Diaz は、「このチームは LLM が優れたコードを作成することを理解しており、また、AI モデルがコードを理解する方法を探りたかった。従来のツールの多くは、エンドポイント保護に重点を置いているため、検知のインセンティブに含まれないものを見落としていた。しかし、攻撃者が使用している全てのツール・セットはどうなのだろうか？そのような状況であっても、問題を検知してフラグを立てることは重要である」と説明する。

セキュリティには膨大な量のデータも存在し、その処理を自動化することで、問題点に対してダイレクトにフラグを立てたてられる。そこに、人的なリソースを投入することが可能になると、Vincent Diaz は付け加えている。

サイバー・セキュリティの民主化

Google Threat Analysis Group (TAG) の Security Engineering Manager である Kate Morgan は、 「これらの脅威アクターの一部が、AI を悪用していることを、私たちは目撃しているのかもしれない。しかし、私たちには充分な利点がある。 この量的な問題について、特に Google が規模を拡大し、AI を活用して防御を強化するということは、その利点が完全に私たちのものになることを意味する。さらに、欧州連合 (EU) は、20万人以上のサイバー・セキュリティ専門家が必要だと述べている。 マルウェア分析は、最も需要の高いスキルの１つであり、高度な技術的能力が必要になる。そして、多くの場合において、最も豊富なセキュリティ・リソースがなければ達成できない」と述べている。

Google によると、今回の調査結果は、マルウェア分析が AI により迅速かつ正確になり、高度な専門知識や経験を持たない人々にも、利用しやすくなる方法を示している。AI ツールは、悪意のコードの判定について、また、対象となるコードが意図することについて、アナリストたちに簡単な言葉で説明できる。

AI はマルウェアを生成するのか？

脅威アクターたちによる生成 AI の使用をめぐる最大の懸念は、マルウェアを簡単に作成するための悪用の可能性である。

多くのサイバー。セキュリティ専門家は、きわめて効果的なソーシャル・エンジニアリング・キャンペーンの作成に、AI が悪用されていることを認めている。しかし、マルウェア作成での悪用については、まだ疑問が残っている。

Vincent Diaz は、「ソースコードを書くときに、そのコードの由来を知ることは、とても難しい。つまり、コピー＆ペーストのソースが、同僚からのものなのか、生成 AI によるサンプルなのかが分からないのだ。したがって、対象となるマルウェアが、AI にり生成されたことを示すものは見つからなかった」と説明している。

European Cyber Conflict Research Incubator の Co-Director である Dr Max Smeets は、「私たちが予測する未来は、AI ツールへの必然的な依存により、ランサムウェアの活動が進化していく未来である。つまり、LLM を使用して、より優れたフィッシング・メールを作成するのと同じくらい容易なものになる。こうした展開から発見されるものには、大規模なデータセットに対する理解である。脅威アクターたちは、すべてのデータを取得しており、そのデータを理解する方法を徹底的に追求するだろう。 それを支援するために、彼らは、間違いなく AI に移行するだろう」と述べている。

防御側における AI の利用について、現在ではコード・スニペットの検出から行動パターン全体の特定へと移行していると、Smeets は付け加えている。

マラガの VirusTotal と Google

VirusTotal はスペインのマラガ生まれの新興企業であり、2012年に Google に買収された。2023年11月29日に Google は、ヨーロッパにおける新たなフラッグシップ・サイバーセキュリティ・センター GSEC をマラガに開設した。

Google の 100人ほどのエンジニアとスタッフと、VirusTotal のチームなどが現地で働いている。Google の各チームは、欧州の政策立案者／サイバー専門家／学術機関／企業などを協力して脅威と闘い、また、デジタル・スキルの開発とトレーニングを提供する。このセンターは、すでに設立されているダブリンとミュンヘンの、２カ所のセンターを補完することになる。

Google 傘下の VirusTotal ですが、LLM の活用で頑張っていますね。Google のリソースを利用できるのなら、かなりのことが可能になるはずだと、期待してしまいます。この記事を訳していて、VirusTotal がスペインの会社であることを初めて知りました。地図で調べてみたら、ジブラルタルから東へ 100km ほど行ったところに、マラガがありました。余談ですが、ジブラルタルが英領であることを、BBC の刑事ものドラマを観ていて知りました。なかなかしぶとい国です・・・