出典:Anatolii Babii(Alamy Stock Photo経由)
あなたが最近雇ったITスタッフは、あなたが思っている人物ではないかもしれません。もしかすると、実在すらしていないかもしれません。
ガートナーは最近、2028年までに求職者の4人に1人がAIによって生成されると予測しました。これらの偽の人物は、国家が支援するハッカーやサイバー犯罪者、あるいは単に複数の仕事を掛け持ちしてほとんど働かずに給料を得ようとする詐欺師によるものかもしれません。
「消費者、雇用主、求職者によるAIや生成AIの広範な導入により、求職者詐欺はより簡単に実行できるようになっています」とガートナーのシニア・プリンシパル・アナリストである千葉恵美氏は述べています。その理由は、単なる履歴書の誇張から知的財産の窃盗などの犯罪行為までさまざまだといいます。
過去2年間で、北朝鮮政府のために働く何千人ものIT労働者が市場に流入しました。あるケースでは、北朝鮮の関係者が偽または不正に取得した身分を使ってブロックチェーンの研究開発会社に雇われ、90万ドル以上の仮想通貨を盗みました。
司法省は、北朝鮮人が米国拠点のIT労働者になりすますことを可能にし、同国の兵器プログラムに資金を流す「ラップトップファーム」をいくつも閉鎖しました。アリゾナ州のラップトップファーマーは、北朝鮮政府のために1,700万ドルを集め、8年半の懲役刑を受けました。また、テネシー州の事件の起訴状によれば、偽の労働者たちはメディア、テクノロジー、金融企業を、偽のメール、SNS、支払い、求人サイトのアカウント、偽サイト、プロキシコンピュータ、北朝鮮国外の共犯者などを使って騙していました。
こうした21世紀型の「出勤しない仕事」は、企業に数百万ドル規模の詐欺被害をもたらしています。さらに深刻なのは、偽の従業員が企業ネットワーク内で野放しになることによるセキュリティ上の影響です。IT労働者はしばしば特権アクセスや管理者レベルの権限を持ち、アカウントやアプリを管理します。これは、内部脅威がすでに増大する懸念事項である中、悪意ある行為者に全てのアクセス権を与えることになります。
「家の鍵を手に入れれば、泥棒する必要はありません」と、CloudEagle.AIのCEOであるニディ・ジェイン氏(ITおよびセキュリティチームがSaaSを管理するためのプラットフォーム)は言います。
リモートワークの増加がこの手口を可能にし、AIがそれをさらに助長しています。千葉氏は、詐欺師がAI技術を使って書類を偽造したり、バーチャル面接を偽装して通過したり、身元を隠してリクルーターに正しい答えを促すなどの手口を使っていると指摘します。
ギグエコノミーの成長もまた、この手口を助長していると、CrowdStrikeの対抗作戦責任者アダム・マイヤーズ氏は述べます。CrowdStrikeは、詐欺師が複数の仕事を同時に得て(同社が発見したケースでは1人で数十件)、海外の代理人に業務を委託する「オーバーエンプロイメント詐欺」が増加していることに気づいています。北朝鮮の国家関係者は何年も前からギグワークを悪用しており、COVIDパンデミックでリモートワークが急増した際、同じインフラと手口を使ってフルタイム雇用の機会を得ていました。
「彼らは体制や金一族のために、あらゆる種類の違法活動に関与して収益を上げています」と彼は言います。「これはそのデジタル版です。」
多層的な対策の適用
ほとんどの内部脅威と同様に、これらの偽の従業員に対抗する最善策は監督とアクセスガバナンスだと専門家は言います。組織はリモートITだけでなく全ての役割に対する戦略を見直し、テクノロジーと人の両方に依存する多層的なアプローチが必要だとガートナーの千葉氏は述べています。
「リクルーターに対して、彼ら(詐欺師)が使う手口や技術について教育することが第一の防衛線です」とマイヤーズ氏は言います。また、疑わしい人物を発見した際に迅速に報告できるフォームや仕組みなどのチャネルも必要だと述べています。
マイヤーズ氏は、面接プロセスでAI使用の兆候を見抜くためのリクルーター向けトレーニングが良い出発点だと述べます。背景ぼかしを絶対に外さない人や、コールセンターのような不自然な背景音がする場合は、偽の身元で面接している可能性を示すサインです。ディープフェイク技術は進歩していますが、まだ完璧ではないと彼は言います。
「彼らがディープフェイクを使う場合でも、どこかで不自然な点が見られます」とマイヤーズ氏は言います。「注意深く観察すれば、しばしばそれを見抜くことができます。」
従業員が入社した後は、アクセスガバナンスと監督によってリスクを管理し、偽の従業員を排除できます。内部脅威を防ぐ適切なアクセス制御は、偽の従業員が暴走した場合の被害範囲を限定できますし、行動分析やAIエージェントを活用した観察力のあるプロジェクトマネージャーは、最低限の仕事しかしないスタッフを見抜くことができ、これが偽の従業員の兆候となります。
「企業にはパフォーマンスマネージャーが必要です」とマイヤーズ氏は言います。「誰かが会議に出席しない、カメラに映るのを拒否する、毎週ほんの少ししか仕事をしない、そういった場合は本気で話し合う必要があります。」
AIは加速装置であり防御者でもある
直感を持った観察力のある人間が第一の防衛線ですが、特権システムへのアクセスを含め、従業員を監視・管理するためには自動化ツールもますます必要とされています。
セキュリティ専門家には明白かもしれませんが、他の多くの人は、平均的な企業の従業員の半数が過剰な権限を持っていることに驚くでしょう、とジェイン氏は言います。「その人が悪意を持って入社した場合、それは非常に危険です」と彼女は述べます。
ジェイン氏は、CloudEagleのCISO調査で、企業が使用するアプリやAIエージェントの60%が監督されていないことが分かったと指摘します。多くはIT部門を介さず、主にマーケティングや営業部門が直接購入したシャドーITです。これは偽の従業員が悪意あるボットやマルウェアを仕込む攻撃経路となる可能性があり、これらのアプリの可視化がリスク対策の重要な要素だとジェイン氏は述べます。
米国国立標準技術研究所(NIST)が定める最小権限アクセスやジャストインタイムアクセス(JiT)を含むアクセスフレームワークを導入・徹底することで、偽の従業員によるリスクから守ることができます。しかし、CloudEagleの調査では、厳格な最小権限アクセスを全システムに導入しているCISOはわずか5%、JiTを導入しているのは15%にとどまっています。
「もう『この仕事をするにはニディがこれらのツールにアクセスできる必要がある』というルールブックは通用しません」とジェイン氏は言います。「毎日評価しなければなりません。まだアクセスが必要か?必要ならアクセスを与える。そうでなければ取り上げる。」
このような監督には、自動化と行動分析の大規模な活用が必要だとジェイン氏は指摘します。AIは行動分析を適用して異常なアクセスパターンを検出し、偽の従業員をあぶり出すことができますし、自動化されたアクセス管理は、必要な作業のためだけに一時的にアクセスを許可し、不要になれば即座に権限を剥奪します。しかし、CloudEagleの調査によれば、85%の企業はいまだに手動でアクセス管理を行っています。
「誰かが私にアクセス権を与え、ノートパソコンに『アクセス権を取り消す』と付箋を貼る。でもその付箋が落ちてしまい、アクセス権が永遠に残ったままになるのです」とジェイン氏は言います。
「まるでモグラたたき」
セキュリティ企業Pindropは、2028年までに採用担当者が年間4,500万~9,000万件の偽求職者に対応しなければならなくなると推定しています。リクルーターはこの問題を認識しており、54%がガートナーに「候補者詐欺は2年前より大きな問題になっている」と答えました。しかし、人事部門の多くは、経歴詐称には警戒していますが、身元詐称にはあまり注意を払っていません。
CrowdStrikeは捜査当局と協力しており、法執行機関は北朝鮮グループに効果的に対抗していますが、「まるでモグラたたきのようです」とマイヤーズ氏は言います。最近の起訴によって一部の関係者は米国外に移動しましたが、組織は引き続き警戒し、あらゆるリソースを活用する必要があります。
「この問題を止めるためにできることはたくさんあります」とマイヤーズ氏は言います。「決して手の打ちようがない問題ではありません。」