複数逆コンパイラ併用でLLMのマルウェア検知精度が向上

マルウェア解析の現場では、攻撃者がソースコードを公開しないため、アナリストはコンパイル済みバイナリを逆コンパイルした疑似Cコードを手がかりに脅威の性質を判断する。近年、大規模言語モデル（LLM）をこの解析工程に組み込む動きが加速しているが、既存の手法は単一の逆コンパイラ出力のみをモデルに与えるという前提に立っていた。

ケンブリッジ大学のBercan TurkmenとVyas Rainaは、この前提が本質的に脆弱であると指摘する。逆コンパイラはヒューリスティックに基づく損失変換ツールであり、同一バイナリであっても使用するツールによって出力される疑似コードが異なる。一方のツールが見落とす悪性の特徴を、他方が露出させる可能性がある。

研究チームは、オープンソースの逆コンパイラであるGhidraとRetDecの両方を用いて同一バイナリを処理し、二種類の疑似Cビューを生成するベンチマーク環境を構築した。良性プログラムと悪性プログラムを含む多様なサンプルに対し、GPT系やLlama系など複数のLLMファミリーを用いて評価を実施した結果、両デコンパイラの出力を同時にモデルへ入力する「マルチビュープロンプティング」が、悪性クラスのF1スコアを一貫して改善することが確認された。改善の主因は、悪性サンプルの見逃し（偽陰性）の低減、すなわち再現率の向上にある。

合意分析においても、GhidraとRetDecは部分的に異なる誤りを犯すことが示された。一方が誤分類するサンプルを他方が正しく判定するケースが統計的に有意に観察されており、両者の出力が相補的な証拠として機能することを裏付けている。

この手法がビジネス現場にもたらす含意は大きい。金融機関や通信事業者のセキュリティオペレーションセンター（SOC）では、日々大量のバイナリファイルのトリアージ（優先度判定）を行っている。悪性サンプルの見逃しはインシデント対応の遅延に直結し、被害拡大リスクを高める。追加学習なしにプロンプト設計の変更だけで再現率が向上するならば、既存のLLM活用環境をそのまま活かしながらKPIである「脅威検知率」と「平均検知時間（MTTD）」の双方を改善できる。

マネージドセキュリティサービスプロバイダー（MSSP）にとっても、本手法は差別化要素となり得る。追加の計算コストは増えるものの、GPUリソースの消費増は限定的であり、契約顧客への提供サービス品質向上と解約率低下に寄与する可能性がある。製造業や医療機器メーカーの情報セキュリティ部門においても、産業制御系を標的とするマルウェアの初期トリアージ精度向上は、OTネットワークの可用性維持という経営指標に直接影響する。

今後の課題としては、逆コンパイラを三種類以上に拡張した場合の効果逓減の検証、プロンプトへの入力トークン量増大に伴うコスト最適化、そして特定の脅威カテゴリにおける性能限界の精査が挙げられる。セキュリティベンダー各社がLLM統合製品の開発競争を続ける中、学習コスト不要で実装可能な本手法は、短期的な製品改善策として採用されやすい特性を持つ。