新たな脅威か？ Windows Defenderを無力化するAIマルウェアの恐怖：839thLap

生成AIによって作られたマルウェアが「Microsoft Defender」の防御ををそこそこの確立で回避できることが分かった。今後、サイバー攻撃者による悪用が広がれば、企業にとって深刻な脅威となり得るだろう。

[キーマンズネット]

　生成AIは、テキストや画像の生成にとどまらず、熟練したプログラマーの業務効率を大幅に向上させるレベルにまで進化している。一方で情シスやIT部門に不安を与えているのが、こうした高度なAIを悪用するサイバー攻撃者の存在だ。

　最近、「Microsoft Defender」をそこそこの確立ですり抜ける性能を備えたマルウェアを、AIによって生成可能なことが実証された。確かに、現在の生成AIの能力を考えれば不可能ではないだろう。ある研究者は、そのAIが生成したマルウェアがどの程度の確率でMicrosoft Defenderを回避できるかを検証した。

　Microsoft Defenderといえば、「Windows 10」「Windows 11」に標準搭載されているセキュリティ対策ソフトで、個人向けには「Microsoft Defender Antivirus」、企業向けには「Microsoft 365 E5」ライセンスなどで利用可能な「Microsoft Defender for Endpoint」が提供されている。

　Microsoft Defenderは高いマルウェア検出能力を誇り、第三者評価機関のランキングでも常に上位に挙がっている。無料で利用できるセキュリティソフトの中では評価が高く、「個人利用であればDefenderで十分」との声もあるほどだ。

　Tech系メディア「Windows Central」は2025年7月15日（現地時間）の記事で、「Windows」に標準搭載されているセキュリティ対策ソフト、Microsoft Defenderの検出を容易に回避できる性能を備えたマルウェアが、AIによって生成可能であることが実証されたことに触れ、大きな反響を呼んだ。

　記事によると、オランダのサイバーセキュリティ企業Outflankのカイル・エイヴリー氏率いるチームが、生成AIを使ってこのマルウェアを開発したという。エイヴリー氏は、攻撃的な観点から防御手法を研究するPrincipal Offensive Specialistとして同社に所属している。

　彼らは、Alibabaが開発したオープンソースの大規模言語モデル「Qwen 2.5」を使って、「Microsoft Defender for Endpoint」を入れたサンドボックス環境でマルウェアの生成を試みた。Qwen 2.5には強化学習（リインフォースメントラーニング）を適用し、Microsoft Defender for Endpointに検出されずに動作した場合や機能するマルウェアが生成できた場合に報酬を与えるよう設計したという。

　このプロセスを3カ月間繰り返した結果、Microsoft Defender for Endpointを約8％の確率で回避できるマルウェアを生成することに成功した。掛かったコストは1600ドル程度だったという。

　「8％」という数字は一見低く感じるかもしれないが、1000回試行すれば80回は回避可能ということであり、攻撃者にとっては十分に実用的な成果だ。なお、他の生成AIでも同様の実験が行われたが、Qwen 2.5が最も高い回避率を示した。

　エイヴリー氏はこの研究成果を、2025年8月開催の「Black Hat 2025」で発表予定で、最新のAIマルウェアについても披露される予定だ。これにより、Microsoft Defender側の防御機能強化が期待されている。

　だが、主に静的解析によって脅威を検出するDefenderなどのセキュリティソフトにとって、生成AIによる動的かつ多様な手法で作られるマルウェアは、大きな脅威となるだろう。もちろん、現時点ではAIがあれば誰でも簡単にマルウェアを作れるという状況にはない。ただ、技術力と強い動機を持った攻撃者が本気になれば、その可能性は否定できない。

　今後のセキュリティ対策ソフトには、マルウェアの検知だけでなく、生成AIの悪用に対抗する技術の導入が求められる時代がやってくるのかもしれない。

上司X：　生成AIが作成したマルウェアが、まあまあな確率でMicrosoft Defenderの保護を突破できる、という話だよ。

ブラックピット：　約8％の突破率ですか。

上司X：　そうらしい。他のAIだともっと低かったらしいけど、Qwen 2.5はそういうのが得意らしい。

ブラックピット：　完全に検知されないのって恐ろしいことですけど、8パーってのはそんなに高い数字なのですかね？

上司X：　そりゃさ、攻撃者が試行回数さえ増やせば絶対突破できるってことだからな。もっとも、一般的なセキュリティ対策ソフトでも既知のマルウェアならともかく、ゼロデイ攻撃だったりすれば突破率はもっと高いだろうけどな。

ブラックピット：　なるほど。しかし、今回のAIマルウェアはどういう仕組みで動いているマルウェアなんでしょうね。

上司X：　そこはまだ明らかになってないんだよな。Black Hat 2025でのお披露目されるってことだから、気になるなら注目しておくといいよ。

ブラックピット：　いやそこまでではないんですが……。でも、それでDefenderの対策が強化されれば何よりですね。しかし、まあセキュリティ対策側もタイヘンですよね。それこそAIの機能が向上するたびに脅威が増えていって、ビクビクしているんじゃないですか？

上司X：　かもしれないな。サイバー攻撃が進化するのも脅威だけど、AIの発展そのものが新しい脅威になりつつある、ってことだ。AI技術の発展は当然歓迎すべきことだろうけど、悪用されるのはなあ……。できればカンベンしてほしいものだよ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。