米国企業に潜入する北朝鮮のITワーカー

「AIが採用詐欺に使われ始めている」と聞いても、「うちは厳格な選考をしているから大丈夫だ」と思う採用担当者は多いだろう。しかし2024年7月、その楽観論を根底から覆す事件が起きた。

 米国のサイバーセキュリティ企業KnowBe4は、世界7万社以上にセキュリティ意識向上トレーニングを提供する業界の有力企業だ。その会社が、北朝鮮のハッカーを誤って採用していたことを公式ブログ上で自ら公表したのだ

 選考プロセスは徹底されていた。履歴書の審査、複数回のビデオ面接(計4回)、経歴の照会確認(リファレンスチェック)、バックグラウンドチェック。そのすべてが、この人物に対して「問題なし」の結果を返した。

 ここまで厳格でも騙されてしまった理由は、ハッカーが実在する米国市民の個人情報を盗用し、その人物のプロフィールに合わせたAI加工済みの顔写真を使用していたからだ。バックグラウンドチェックは盗用された「実在の人物」のデータと照合されたため、すべて「問題なし」という結果が出たわけである。

 採用後、KnowBe4はMacのノートPCを送付した。するとハッカーの手元にPCが届いた瞬間から、マルウェアのインストールが開始された。ただ社内のセキュリティ監視システムがこれを検知し、アラートから25分以内に当該アカウントのアクセスを遮断。データ漏洩は防いだが、KnowBe4の最高経営責任者Stu Sjouwermanは「このことが我々に起きたなら、ほぼすべての企業に起きうる」との見解を示している

 この北朝鮮によるIT職への潜入は、KnowBe4という一企業だけの問題ではない。同社はMandiantおよびFBIと情報共有した結果、このスキームが「国家支援を受けた組織的な大規模犯罪」の一部であることが判明した。

 米司法省は2024年、北朝鮮のITワーカーが数百社の米国企業に潜入し、稼ぎを核開発資金として送金していたとして摘発している。偽の候補者たちは中国やロシアからVPN経由で「米国時間の昼間」に勤務しているように見せかけ、業務をこなしながら給与を受け取り続けていた。KnowBe4によれば、今もなお北朝鮮のフェイク応募者が同社の求人に大量に応募してきているという。