検索
ニュース

LLMでEDRを“丸裸”に AIで防御ロジックを解析する時代が始まる回避策まで提案可能

LLMは、コード生成だけでなく防御製品そのものを解析する段階に進みつつある。SpecterOpsは、LLMを反復実行する独自手法によって「Cortex XDR」の内部構造や検知ルール、機械学習モデルを効率的に解析した成果を公開した。

Share
Tweet
LINE
Hatena

 セキュリティ企業のSpecterOpsは2026年6月29日(米国時間)、LLM(大規模言語モデル)でEDR(Endpoint Detection and Response)製品を解析した手法と、その成果を公開した。

 解析にはPalo Alto Networksの「Cortex XDR」を採用し、LLMを継続的に実行することで、防御機能の内部構造や検知ルール、ML(機械学習)モデルなどを効率良く解析できたと報告している。

 同社はこれまでもEDRやアンチウイルス製品のリバースエンジニアリングに取り組んできたが、高度な解析には多くの時間と人的コストを要することが課題だったという。今回の検証ではLLMを活用することで、解析作業の自動化と大幅な高速化が可能になったとしている。

 また、同社は、防御製品を回避する手法は従来、一部の研究者や攻撃者の間で共有されるケースが多かったが、LLMの発達によって高度な解析のハードルが急速に下がりつつあるとの認識を示した。成果の公開は特定製品の脆弱(ぜいじゃく)性を指摘することが目的ではなく、AI時代の防御製品が直面する新たな課題を示すことが狙いだとしている。

EDRをLLMで“丸裸”に 検知ルールや機械学習モデルまで解析

 解析では、セキュリティ用途向けに調整した「GPT-5」系モデルを利用し、「Day Shift」と呼ぶ独自のワークフローを構築した。この仕組みでは、解析の進捗(しんちょく)や調査結果を都度保存しながらLLMを繰り返し実行することで、長時間に及ぶリバースエンジニアリングでも途中までの解析内容を引き継ぎながら継続できるようにした。実行環境には「Codex CLI」や「Docker」を採用し、リバースエンジニアリングツール「Binary Ninja」とも連携している。

 LLMは検証において、ユーザーモードDLLの構造やフック処理、ドライバーとの通信経路などを整理した他、ローカルに保存されたYARAルールの暗号化方式や復号手順も特定した。さらに復号プログラムを自動生成し、数千件規模のルールを抽出・解析して実際の検知結果と照合し、その妥当性を確認したという。

 さらに、9000件以上の振る舞い検知ルールや4000件以上のBIOCルールについても解析を実施した。有効化されているルールや認証情報窃取を検知する条件などを平文データとして復元し、実際にコマンドを実行して検知結果と一致することを確認したとしている。

 MLモデルの解析では、ローカル分析機能に決定木アンサンブルが採用されていることを確認した。PEファイルやPowerShell、VBS、JavaScriptなど複数形式の判定モデルを抽出し、「Windows」で判定処理を再現する実験環境もLLMが構築した。対象ファイルを入力すると、スコアや判定結果を出力できる状態まで再現できたという。

 この他、暗号化されたCLP形式データを復号してCLIPS形式のルール群も取得した。SAMハイブの保存先などを条件とする検知ルールを解析し、許可された保存先に出力した際にローカル検知が発生しないケースなども確認している。

 同社は、抽出した検知ルールを利用して仮想Windows環境と仮想EDRを組み合わせた模擬環境も試作した。この環境では、シェル操作に対して検知の有無を再現するだけでなく「どのように変更すれば検知を回避できる可能性があるか」といった回避案までLLMが提示できたとしている。

 なお、今回の検証対象はCortex XDRだが、同社は解析手法そのものを他のEDR製品にも応用できる可能性があるとしている。

 SpecterOpsは、LLMによってリバースエンジニアリングの効率は大きく向上し、防御製品の内部構造やローカル検知ルールを解析するハードルは今後さらに低下するとの見方を示した。一方で、EDRは端末内の検知だけでなく、クラウド側でテレメトリーを分析し、相関分析や脅威ハンティングを実施する仕組みも備えているため、ローカルルールが解析されたとしても製品全体の有効性が直ちに失われるわけではないとしている。

 同社は、AIによって防御製品の解析が容易になる時代には、「EDRがあるから安全」という発想ではなく、防御製品が解析・回避される可能性を前提とした設計が重要になると指摘する。EDR単体に依存するのではなく、予防策やクラウド分析を含めた多層防御を組み合わせることが、これまで以上に重要になるとの考えを示している。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る