今すぐできる対策と、その限界

 では、企業はどうすべきか。現時点で有効とされる手法はいくつかある。ただし、対策と攻撃は常にいたちごっこであることを前提として理解しておく必要がある。

 最も即効性が高いのは、面接中に「予測不能な動作」を求めることだ。「今日の日付を書いたメモを今すぐカメラに見せてください」「本棚から一冊取り出して表紙を見せてください」といった、事前に準備できない行動を突然求めることで、ディープフェイクのリアルタイム合成の遅延やズレが露出しやすくなる。

 KnowBe4は事件後、応募者が「物理的に本人確認できる場所にいるか」を確認する手続きを追加し、社用PCの送付先を、本人が身分証を提示して直接受け取れるUPS(米国の宅配サービス企業)店に変更した。

 技術的な採用試験については、コーディングテストを「監視付きのオンサイト」か、専用の監視ツールを用いた形式に切り替えることが推奨される。また、職歴の確認は「メールでの照会」ではなく、記載された前雇用主に直接電話で問い合わせることが望ましい。名刺や連絡先の偽造は容易だが、実際に電話をかけて声で確認する手順は詐欺師にとって突破が難しい関門になる。

 内定後についても注意が必要だ。採用した人材が「本当に期待したスキルを持っているか」を、初月の業務を通じて速やかに検証できる設計にしておくことが重要になる。KnowBe4のケースのように、業務開始直後にPC操作の異常が検知できたのは、新入社員のアクセス権を最小限に絞り、行動を監視できる仕組みがあったからだ。

 一方、これらの対策に頼り過ぎることにも危うさがある。ディープフェイク技術の進化は対策ツールより速い。Reco.aiの分析が示すように、AIが生成した偽造は年を追うごとに人間による検出をより困難にしている。「対策を入れたから安心」という発想ではなく、「採用セキュリティを継続的に更新すべき経営課題の1つ」として位置づけることが欠かせない。

採用詐欺が示すより大きなリスクの構図

 採用段階での詐欺は、個々の雇用契約上の問題にとどまらない。社内システムへのアクセス権限が付与された「偽の従業員」が存在し続けることは、情報セキュリティ上の深刻なリスクだ。KnowBe4のケースでは幸いにも初期アクセスが制限されていたが、採用後に徐々に権限が拡張される通常の業務環境であれば、被害の範囲は顧客データ、社内機密、システムへの不正アクセスにまで広がる。

 問題はさらに拡大している。在籍中の社員のアカウントやコミュニケーションツール(SlackやMicrosoft Teams)を通じて「上司になりすます」AI攻撃が増加しており、採用プロセスだけでなく職場全体での「信頼の確認方法」を見直す必要が生じている。

「上司からの緊急の送金指示」「幹部からのシステムアクセス依頼」などすべてが偽造の対象になり得る時代に、組織内のコミュニケーションを支える「信頼のインフラ」が根本から問い直しを迫られている。

 Experianが予測するように、2026年は採用詐欺を含むAI主導の詐欺が急増する転換点となるだろう。対応が遅れた企業ほど、コンプライアンス上の問題を抱えた人材を社内に抱えたまま業務を続けるリスクにさらされる。

 AIを活用して優秀な人材を探す時代に、AIを活用した詐欺師もまた、同じ求人サイトに履歴書を送ってくる。採用担当者の「直感と経験」だけでは太刀打ちできない時代が、すでに始まっている。

小林 啓倫(こばやし・あきひと)
経営コンサルタント。1973年東京都生まれ。獨協大学卒、筑波大学大学院修士課程修了。システムエンジニアとしてキャリアを積んだ後、米バブソン大学にてMBAを取得。その後コンサルティングファーム、国内ベンチャー企業、大手メーカー等で先端テクノロジーを活用した事業開発に取り組む。著書に『FinTechが変える! 金融×テクノロジーが生み出す新たなビジネス』『ドローン・ビジネスの衝撃』『IoTビジネスモデル革命』(朝日新聞出版)、訳書に『ソーシャル物理学』(草思社)、『データ・アナリティクス3.0』(日経BP)、『情報セキュリティの敗北史』(白揚社)など多数。先端テクノロジーのビジネス活用に関するセミナーも多数手がける。
Twitter: @akihito
Facebook: http://www.facebook.com/akihito.kobayashi