VirusTotal Launches Endpoint That Explains Code Functionality for Malware Analysts
2025/08/29 gbhackers — Virustotal が発表したのは、Code Insight スイートに新たな機能を追加したことである。それは、逆アセンブル/逆コンパイルされたコード・スニペットを受け取り、マルウェア・アナリスト向けの簡潔なサマリと詳細な説明を返すという、専用 API エンドポイントのことである。RSA 2023 における Code Insight の発表から2年以上を経ているが、この公開されたエンドポイントは、リバース・エンジニアリング・ワークフローの自動化と、AI ドリブン分析を、逆アセンブル・ツールにダイレクト統合する大きな進展である。
従来のリバース・エンジニアリングでは、アナリストが手作業でコードパスを追跡し、動作を推測し、発見事項を文書化する必要があった。しかし、その手法は、複雑化/難読化されたバイナリを扱う場合に、煩雑な作業となっていた。
Virustotal の新しいエンドポイント “api/v3/codeinsights/analyse-binary” は、以下の機能を提供することで、この負担を大幅に軽減する。
- Base64 エンコードされたコード・ブロックと、そのタイプ(
disassembled/decompiled) を受け取る。 - オプションで、過去のクエリ履歴やアナリストが編集した応答を取り込み、コンテキストを提供する。
- 以下の2つのフィールドを返す。
summary:関数の目的の概要。
description:内部動作の詳細な説明。
アナリストが承認した編集を取り込んだ、連続したリクエストを連鎖させることで、Code Insight は調査から “学習” し、精度を段階的に高め、隠れた挙動を効率よく発見していく。
新しいプラグインのメリットを、実際の例を挙げて説明しよう。アナリストが悪意のバイナリ・ファイルを分析して、その機能を理解する必要があると想像してほしい。
既存のツール・チェーンへの簡単な統合
シームレスな導入を実証するため、Virustotal は IDA Pro 用の VT-IDA プラグインを更新し、この新しいエンドポイントを逆アセンブリ・インターフェイスに直接組み込んだ。
承認された分析結果は “CodeInsight Notebook” に入力され、そこで概要と説明が精緻化され、後続のクエリのコンテキストとして使用されていく。
疑わしいバイナリを調査するアナリストは、以下の操作を実行できる。
- アンチ・デバッグ・ルーチンを実装している疑いのある難読化された関数を選択する。
- 逆アセンブルされたスニペットをエンドポイントに送信し、隠されたジャンプ手法を識別するための概要を受け取る。
- 説明に最終的な戻りアドレスの計算が省略されている説明に注目し、テキストを編集して、その詳細を取り込む。
- 編集された分析結果を承認し、Notebook に追加することで、今後のクエリで強化されたコンテキストが活用できるようになる。
Notebook が拡張されるにつれて、AI アシスタントは出力を精緻化し、文字列の変換やメモリマップの参照といった、手動で相互参照する必要のある微細な動作を明らかにする。
実用的な利点と視覚的な補助
トライアル・テストにおいてアナリストたちは、初期コード・トリアージに要する時間を最大で 40% ほど削減できたと報告している。このエンドポイントは、より詳細な調査が必要な興味深い関数に対して迅速にフラグ付けを行う。
アナリストたちは、それらの関数をハイライト表示し、プラグインを呼び出すだけで、ワークフローを離れることなく AI によるフィードバックを受け取れる。
VT-IDA プラグインは、アセンブリ内の英語以外の文字列もハイライト表示し、翻訳してメモリ・オフセットを正確に特定する。この機能は、マルウェアに埋め込まれたローカリゼーションや C2 (Command and Control) 命令を理解する上で極めて重要である。
逆コンパイル・ビューに切り替えると、さらに充実した分析が提供される。逆アセンブリでは生のオペコードとリテラルデータが公開されるが、逆コンパイルされたコードは、より明確な制御フロー構造を提供する。
このエンドポイントは、逆アセンブリと逆コンパイルの2つの表現を活用する。以前に分析された逆アセンブル関数は、逆コンパイル分析に情報を提供し、それぞれのビューの長所を組み合わせた簡潔な説明を生成する。
コミュニティ主導のトライアル
現在のトライアル・モードで利用できるエンドポイントと VT-IDA プラグインは、いずれもコミュニティからのフィードバックを募り、精度の向上と対象範囲の拡大を目指している。
Virustotal が警告するのは、AI が生成した記述には、エッジ・ケースの動作の見逃しや、軽微なエラーが含まれるというものであり、アナリストたちによるレビューの重要性を強調している。
より多くのアナリストが、編集/提案を行うことで、システムの精度は向上すると期待される。
今後において Virustotal は、Code Insight を拡張することで、他のファイル形式への対応や、リバース・エンジニアリング・プラットフォームとしての機能を充実させ、マルウェア研究者にとって不可欠なアシスタントとしての役割を、さらに強固なものにする予定である。
アナリストたちに推奨されるのは、このエンドポイントを試用し、GitHub の公開リポジトリを通じてフィードバックを共有することである。それにより、今後の機能強化が促進され、それらが AI をリバース・エンジニアリング・ライフサイクルに統合されていく。
Virustotal の新しいコード分析エンドポイントが示すのは、従来からの逆アセンブリ・ツールと LLM との融合における顕著な進歩であり、ますます高度化する脅威を解明していくマルウェア・アナリストたちの作業を、効率化/高度化していくだろう。
Virustotal が Code Insight に追加した、新しい API 機能の仕組みを解説する記事です。従来からのリバース・エンジニアリングでは、難読化されたバイナリを手作業で追跡するという、分析作業の非効率さが問題となっていました。そのため、アナリストの負担が大きく、細かな挙動を見落とすリスクもありました。この、新しいエンドポイントでは、逆アセンブルや逆コンパイルされたコードを入力すると、自動で概要と詳細が返される仕組みになっています。それにより、コードの動作を短時間で理解できるようになり、人間による作業過程に起因する、限界を補うものになると、この記事は指摘しています。よろしければ、Virustotal で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.