投稿者 global-ai-media 
北朝鮮のハッカー集団がChatGPTやGeminiなどの生成AIを悪用し、身分を偽って海外企業への就職を試みている実態が明らかになりました。IT人材不足により海外エンジニアやリモートワークの活用が進む日本企業にとって、これは決して対岸の火事ではありません。AIによって言語の壁やスキルの偽装が容易になった今、組織が講じるべきセキュリティとガバナンスのあり方を解説します。
生成AIが悪用される「偽装雇用」の手口とは
北朝鮮のサイバー攻撃グループが、OpenAIの「ChatGPT」やGoogleの「Gemini」といった生成AIツールを積極的に利用していることが報告されています。その主な目的の一つが「偽装雇用(Disguised Employment)」です。これは、ハッカーが身分を偽って西側のIT企業や暗号資産関連企業にリモートワーカーとして潜り込み、給与を得て外貨を獲得したり、企業の内部システムに侵入するための足掛かりを作ったりする手口を指します。
生成AIは、このプロセスにおいて強力な支援ツールとなっています。例えば、完璧な履歴書や職務経歴書の作成、面接時の想定問答の生成、さらにはコーディングテストにおけるコード生成などに利用されています。従来であれば不自然な英語や専門知識の欠如から見抜けたはずの「なりすまし」が、LLM(大規模言語モデル)の能力によって非常に巧妙化しており、書類選考やオンライン面接だけで見抜くことが困難になりつつあります。
「日本語の壁」はもはや防御壁ではない
日本企業にとって特に深刻なのは、生成AIによって「言語の壁」が事実上無効化されつつある点です。これまで日本企業に対するサイバー攻撃やフィッシング詐欺、あるいはなりすまし応募の多くは、不自然な日本語(文法の間違いや不適切な敬語など)によって検知できるケースが少なくありませんでした。
しかし、最新のLLMは極めて自然なビジネス日本語を生成可能です。海外の攻撃者が、日本の商習慣に則った完璧な日本語のメールを作成し、SlackやTeamsなどのチャットツールでも違和感なくコミュニケーションを取れるようになっています。これは、海外の安価な労働力を装った悪意あるアクターが、日本企業の開発プロジェクトや業務委託案件に入り込むリスクが急増していることを意味します。特に、エンジニア不足を補うためにフルリモート前提でフリーランスやオフショア開発を活用している企業は、警戒レベルを引き上げる必要があります。
従来のリモートワーク・セキュリティの限界
多くの日本企業では、リモートワークのセキュリティ対策としてVPN(仮想プライベートネットワーク)の利用や、端末管理(MDM)の導入を行っています。しかし、これらは「正規の社員が安全にアクセスすること」を前提とした対策であり、「正規の手続きを経て採用された人物が、実は悪意ある攻撃者だった」というインサイダーリスク(内部脅威)には無力な場合があります。
「偽装雇用」によって内部ネットワークへの正規のアクセス権限を取得されてしまえば、ファイアウォールの内側から堂々と情報の持ち出しやマルウェアの展開が可能になります。また、開発環境へのアクセス権を持った攻撃者が、ソースコードにバックドア(裏口)を仕込む「サプライチェーン攻撃」のリスクも高まります。
日本企業のAI活用への示唆
今回の事例は、AI技術の進化が攻撃者側にも大きなメリットをもたらしていることを示しています。日本企業は以下の3つの観点から、採用およびセキュリティ戦略を見直す必要があります。
1. 本人確認プロセスの厳格化と多層化
書類やチャットだけの選考はリスクが高まっています。オンライン面接での本人確認(本人確認書類と顔の照合)に加え、技術面接ではAIの補助を使わせないリアルタイムのライブコーディングを実施するなど、実在性とスキルを多層的に検証するフローが不可欠です。場合によっては、バックグラウンドチェック(経歴調査)の専門機関活用も検討すべきでしょう。
2. 「ゼロトラスト」原則の徹底
「社内の人間だから信頼する」という境界型防御の考え方を捨て、「全てのアクセスを信頼せず、常に検証する」というゼロトラストアーキテクチャへの移行を急ぐべきです。特に特権IDの管理を厳格化し、開発者であっても必要最小限の権限のみを付与する(PoLP:最小権限の原則)運用が求められます。
3. 経済安全保障とガバナンスの強化
改正個人情報保護法や経済安全保障推進法などの観点からも、委託先や従業員の管理は企業の法的責任に関わります。AI活用を推進する一方で、AIを悪用した攻撃への耐性を高めることは、経営層が取り組むべきガバナンスの重要課題です。技術的な防御だけでなく、人事・法務部門と連携した組織的なリスク管理体制の構築が急務と言えます。