投稿者 global-ai-media 
マイクロソフト等の報告によると、北朝鮮の工作員が生成AIを悪用して欧米企業の採用面接を突破し、不正に外貨を獲得している事例が確認されました。IT人材不足を背景にグローバルなリモート採用が進む日本企業にとっても、これは対岸の火事ではありません。本稿では、AI時代の採用リスクと、日本企業が講じるべきガバナンスおよびセキュリティ対策について解説します。
生成AIが悪用される「雇用市場」の新たなリスク
英国紙ガーディアンおよびマイクロソフトの報告によると、北朝鮮の工作員が生成AIツールを悪用し、自身の身元や容姿を偽装して欧米企業の採用面接を突破している実態が明らかになりました。彼らの主たる目的は、リモートワーク形式のIT職を得ることで給与(外貨)を獲得し、それを本国へ送金して核・ミサイル開発等の資金源にすることにあるとされています。
これまでサイバーセキュリティの脅威といえば、システムへの侵入や情報の窃取が中心でした。しかし、今回の事例は「正規の採用プロセスを通じて組織内部に入り込む」という点で、従来の境界防御(ファイアウォール等)では防げないソーシャルエンジニアリングの一種です。特に、リアルタイムで顔や声を変換するディープフェイク技術が、採用面接という身近なビジネスプロセスで悪用され始めている点は、日本の人事・セキュリティ担当者にとっても衝撃的な事実と言えるでしょう。
日本企業が直面する構造的な脆弱性
この問題は欧米企業に限った話ではありません。日本国内でもIT人材の不足は深刻化しており、多くの企業がベトナムや中国、フィリピンなどのオフショア開発拠点や、グローバルなフリーランス人材への依存度を高めています。フルリモートを前提とした業務委託契約も一般的になりました。
日本の商習慣では、履歴書や職務経歴書の記述を性善説で信頼する傾向が強く、また海外人材を採用する際、ビデオ通話による面接のみで完結させるケースも増えています。ここに、AIによるなりすましが入り込む隙があります。もし採用したエンジニアが身元を偽装した悪意ある第三者であった場合、給与が不正な組織に流れるコンプライアンス上のリスクに加え、社内のソースコードや顧客データへのアクセス権を内部から正規に付与してしまうという、極めて重大なセキュリティリスクを抱えることになります。
技術的対策とアナログな確認の併用
AIによるなりすましを見抜くことは、肉眼や画面越しの判断だけでは限界に近づいています。AI技術の進化により、リアルタイムでの表情生成や音声変換の遅延は解消されつつあり、違和感を覚えることが難しくなっているからです。
対策として、企業は以下の二つのアプローチを検討する必要があります。
- 多要素認証とデバイス管理の徹底:採用者が使用するPCを会社支給のものに限定し、エンドポイント管理(MDM/EDR)を徹底する。また、アクセス権限においては「ゼロトラスト(何も信頼しない)」の原則に基づき、業務に必要な最小限の権限のみを付与し、常に監視する体制を敷くことが重要です。
- 本人確認(KYC)プロセスの厳格化:オンライン面接だけでなく、信頼できるエージェント経由での紹介に限定する、あるいはバックグラウンドチェック(経歴調査)を専門機関に依頼するなど、技術以外のプロセスでの本人確認を強化する必要があります。
日本企業のAI活用への示唆
今回の事例は、AI技術が「業務効率化」だけでなく「欺瞞(ぎまん)工作」にも使われ得ることを示しています。日本企業が今後、AI活用やDX(デジタルトランスフォーメーション)を推進する上で、以下の視点を持つことが求められます。
- 採用プロセスのセキュリティ化:人事部門とセキュリティ部門(CISO室など)が連携し、リモート採用における本人確認ガイドラインを策定すること。特に海外からのフルリモート採用においては、eKYC(オンライン本人確認)ツールの導入や、より厳格な身元保証を契約条件に盛り込む検討が必要です。
- インサイダーリスクへの備え:「採用した=信頼できる」という前提を捨て、内部不正やなりすまし社員が存在する可能性を考慮したシステム設計を行うこと。特権IDの管理や操作ログのモニタリングは、外部攻撃対策と同等以上に重要になります。
- AIリスク教育の実施:採用担当者や現場マネージャーに対し、ディープフェイク技術の現状や見破り方、違和感があった際の報告ルートなどを教育・啓蒙し、組織全体のリテラシーを向上させることが急務です。