概要

2026年3月、神奈川工科大学にて開催された第206回DPS・第112回CSEC合同研究発表会に参加し、 「LLMによる.NETマルウェアの難読化解除:概念実証に向けた基礎的検証」をテーマに口頭発表を行いました。

発表内容

本発表では、大規模言語モデル(LLM)を用いた.NETマルウェアの難読化解除手法について、 その基礎的な有効性を検証した結果を報告しました。

ConfuserExにより難読化されたサンプルに対して、LLMが変数名・メソッド名の復元や 制御フロー平坦化の解除にどの程度有効かを定量的に評価しました。

使用した手法

  • ⚫︎ 難読化前後の.NETバイナリをdnSpy / ILSpy によりデコンパイルし、生成AIにコンテキストとして提供して難読化解除に適してプロンプトの生成をさせる
  • ⚫︎ LLMへのプロンプトエンジニアリング(段階的な難読化解除指示)
  • ⚫︎ 復元率の定量評価(先行研究でも使用されている手法を参考に実施。また、マルウェア検体では、Chap v2 sandboxを使用してAPIトレースの類似度やIoC,ATT&CK再現度での評価を実施)
  • ⚫︎ オープンソースのマルウェア3種を使用して、マルウェア解析の実践的評価を実施

質疑応答

発表後の質疑では、ハルシネーションの軽減や、今回対象にできなかった難読化のオプションへの適用、生成AIを活用した動的解析の可能性などについて、教授や座長の先生方からフィードバックをいただきました。

初めての口頭発表でしたが、教授や座長の先生方からフィードバックをいただき、非常に有意義な経験でした。

今後の展望

今後は、今回生成失敗してしまったAsyncRATなどのファイル数や機能が多いマルウェアの解除、今回対象にできなかった難読化のオプションや、難読化ツールへの適用を動的解析の結果をプロンプトに反映させる形や部分的にローカルLLMを活用する形で進めていきたいと考えています。