Pindrop Securityが提供した画像には、同社が「イヴァンX」と名付けた偽の求職者が写っている。この人物はディープフェイクAI技術を使って顔を隠していたと、PindropのCEO、ヴィジェイ・バラスブラマニアン氏は述べている。
音声認証スタートアップ企業Pindrop Securityが最近求人広告を出した際、数百人の候補者の中から一際目立つ人物がいた。
この応募者はロシア人のプログラマー、イヴァン氏で、シニアエンジニア職に必要な資格をすべて備えているように見えた。しかし、先月ビデオ面接を受けた際、Pindropの採用担当者はイヴァン氏の表情と言葉がわずか��にずれていることに気づいた。
PindropのCEO兼共同創業者であるヴィジェイ・バラスブラマニアン氏によると、同社が「イヴァンX」と名付けたこの応募者は、ディープフェイクソフトウェアやその他の生成AIツールを使ってPindropに採用されようとしていた詐欺師だったという。
「AI世代は、人間であることと機械であることの境界線を曖昧にしています」とバラスブラマニアン氏は述べた。「私たちが目にしているのは、偽の身元、偽の顔、偽の声を使って就職活動をしている人たちです。中には、面接に来た別の人と顔をすり替えるケースさえあります。」
企業は長年、自社のソフトウェア、従業員、ベンダーの脆弱性を悪用しようとするハッカーによる攻撃と戦ってきました。今、新たな脅威が出現しています。それは、AIツールを使って写真付き身分証明書を偽造し、職歴を生成し、面接で回答する、本人ではない求職者です。
調査・コンサルティング会社ガートナーによると、AI生成プロフィールの増加により、2028年までに世界で求職者の4人に1人が偽者になると予測されています。
企業が偽の求職者を採用することによるリスクは、その人の意図によって異なります。バラスブラマニアン氏によると、詐欺師は採用されるとマルウェアをインストールして企業に身代金を要求したり、顧客データ、企業秘密、資金を盗んだりすることができる。多くの場合、詐欺を働く従業員は、本来受け取ることのできない給与を受け取っているだけだと彼は述べた。
サイバーセキュリティ企業や仮想通貨企業では、最近、偽の求職者が急増していると、業界専門家がCNBCに語った。これらの��企業はリモートワークの採用が多いため、詐欺師にとって格好の標的になっていると専門家は述べている。
BrightHireのCEO、ベン・セッサー氏は、この問題を初めて知ったのは1年前で、今年に入ってから詐欺的な求職者の数が「大幅に増加」したと述べた。同社のサービスは、金融、テクノロジー、ヘルスケア分野の300社以上の企業顧客に対し、ビデオ面接で採用候補者の評価を支援している。
「サイバーセキュリティにおいて、一般的に人間は弱点であり、採用プロセスは本質的に人間的なプロセスであり、多くの引き継ぎと多くの人々が関与しています」とセッサー氏は述べた。 「人々が暴露しようとしている弱点となっている」
しかし、この問題はテクノロジー業界に限ったことではない。司法省は5月、大手国営テレビ局、防衛機器メーカー、自動車メーカー、その他フォーチュン500企業を含む300社以上の米国企業が、北朝鮮とつながりのある偽装者をIT業務に誤って雇用したと告発した。
司法省によると、これらの労働者は盗んだアメリカ人のIDを使って遠隔地の仕事に応募し、リモートネットワークなどの技術を使って実際の居場所を隠していたという。司法省は、最終的に彼らは北朝鮮の兵器開発計画の資金援助として、数百万ドルの賃金を北朝鮮に送金したと非難した。
この事件は、アメリカ国民を含む複数の共謀者グループが関与しており、米国当局が北朝鮮とつながりのある数千人のIT労働者からなる広大な海外ネットワークとしているもののほんの一端を暴露したに過ぎません。司法省はその後も、北朝鮮のIT労働者�を巻き込んださらなる事件を提起しています。
CAT Labsの創設者兼CEOであるリリ・インファンテ氏の経験が示すように、偽の求職活動は依然として続いています。フロリダに拠点を置く彼女のスタートアップは、サイバーセキュリティと暗号通貨の交差点に位置しており、犯罪者にとって特に魅力的だ。
「求人広告を出すたびに、100人もの北朝鮮のスパイが応募してくるんです」とインファンテ氏は語る。「彼らの履歴書を見ると、驚くほど素晴らしいです。私たちが求めているキーワードをすべて使っているんです。」
インファンテ氏によると、彼女の会社は偽の応募者を排除するために、iDenfy、Jumio、Socureといった新興企業を含む身元確認会社を利用しているという。
FBIの指名手配ポスターには、北朝鮮(正式名称:朝鮮民主主義人民共和国)出身のIT労働者とされる容疑者の名前が載っている。
ベテランのコンピュータセキュリティコンサルタント、ロジャー・グライムズ氏によると、偽装労働者業界は近年、北朝鮮人だけでなく、ロシア、中国、マレーシア、韓国に拠点を置く犯罪グループにも広がっているという。
皮肉なことに、こうした不正な労働者の中には、ほとんどの企業で優秀な人材と見なされる人もいると彼は言う。
「時には彼らはその役割をうまくこなせないこともありますが、時には非常にうまくこなすので、実際に何人かから『解雇しなくてはならなかった』と言われたこともあります」とグライムズ氏は語った。
彼の雇用主であるサイバーセキュリティ企業KnowBe4は10月、北朝鮮出身のソフトウェアエンジニアを誤って採用したと発表した。
同社によると、このエンジニアはAIを使ってストックフォトを加工し、有効なものの盗用した米国人の身分証明書を組み合わせ、4回のビデオ面接を含む身元調査を突破したという。彼が発覚したのは、会社が彼のアカウントから不審な動きを発見した後のことだ。
BrightHireのセッサー氏によると、司法省の事件やその他のいくつかの公表された事件にもかかわらず、ほとんどの企業の採用担当者は、偽の求職者のリスクを認識していないという。
「彼らは人材戦略などの重要な業務に責任を負っていますが、セキュリティの最前線に立つことはこれまでありませんでした」と彼は述べた。「人々は自分が被害に遭っていないと思っていますが、おそらく被害に遭っていることに気づいていないだけでしょう。」
ディープフェイク技術の品質が向上するにつれて、この問題を回避することはより困難になるだろうとセッサー氏は述べた。
「イヴァンX」に関して、ピンドロップのバラスブラマニアン氏は、同社が新たに開発したビデオ認証プログラムを用いて、彼がディープフェイク詐欺師であることを確認したと述べた。
イヴァンはウクライナ西部にいると主張していたが、彼のIPアドレスから、実際には数千マイル東、北朝鮮国境付近のロシア軍施設と思われる場所にいたことがわかったと同社は述べている。
アンドリーセン・ホロウィッツとシティ・ベンチャーズの出資を受けるピンドロップは、10年以上前に音声通話における不正行為を検知するために設立されたが、近いうちにビデオ認証に方向転換する可�能性がある。顧客には、米国大手の銀行、保険会社、医療関連企業などが含まれる。
「私たちはもはや自分の目と耳を信頼できない」とバラスブラマニアン氏は述べた。「テクノロジーがなければ、コイントスで勝敗を予想する猿よりも状況は悪くなる」