採用担当者は多少誇張された履歴書には慣れていますが、現在、多くの企業(ここMalwarebytesも含む)がはるかに深刻な問題に直面しています。それは、そもそも実在しない人物による求人応募です。
作り物の身元情報から、AI生成の履歴書、外部委託されたなりすまし面接まで、採用プロセスは攻撃者が組織内部に潜り込むための新たな経路になっています。
偽応募者は、もはや単なる人事部門の小さな迷惑事ではなく、現実的なセキュリティリスクです。では、その目的は何なのか、そして何に注意すべきなのでしょうか?
偽応募者はどのように活動しているのか
こうした応募者は、怪しげな履歴書を適当に送りつけて運を天に任せているわけではありません。多くは、選考をすり抜けることを狙った、洗練された連携的な手口を使います。
AI生成の履歴書
AI生成の履歴書は、偽応募者の最も一般的な兆候のひとつになっています。言語モデルは、洗練されキーワードをふんだんに盛り込んだ履歴書を数秒で作成でき、詐欺師たちは応募者管理システム(ATS)を突破できるかどうかを試すために、何十通りものバリエーションを生成することがよくあります。一部のケースでは、プロフィール全体が一度に生成されることさえあります。
こうした履歴書は、書面上は完璧に見える一方で、具体的なプロジェクト、期間、成果について質問するとすぐに破綻します。採用チームは、関連性のない複数のポジションに対して、ほとんど同じ内容の履歴書が大量に届いたり、書類に書かれている内容が、会話の中で本人が説明できる内容をはるかに上回っていたりするケースを報告しています。同じ書式上の癖や言い回し、プロジェクトの説明が使われた複数の履歴書を受け取った例もあります。
偽の、あるいは借用された身元情報
なりすましは一般的です。詐欺師は、AI生成または盗用されたプロフィール写真、偽の住所、VoIP電話番号を使って、正規の応募者のように見せかけます。LinkedInでの活動履歴は乏しいことが多く、あるいは、ほぼ同一のプロフィールが、スキルだけを少し変えて同じ名前で複数存在していることもあります。
Malwarebytesでは、このRegisterの記事にあるように、応募者が提供する詳細情報が、面接時に見えるものと必ずしも一致しないことに気づいています。中には、同じ名前と電話番号が複数の応募に登場し、その都度、新たに作り直された履歴書が添付されているケースもありました。さらに、応募者はある国に在住していると主張しているのに、実際にはまったく別の国(多くはアジア)から電話をかけてきている、といった矛盾も多く見られます。
外部委託・台本付き・ディープフェイク面接
不正な面接は、よく似たパターンをたどります。自己紹介は短く曖昧で、回答は長く不自然な間を置いてから返ってきます。まるで画面の外で誰かに指示されているかのようです。多くの場合、カメラをオフにしようとしたり、ライブではなくオフラインでテストを行いたいと求めてきたりします。
より高度なケースでは、リアルタイムフィルターやディープフェイクツールの兆候が見られることがあります。例えば、口の動きと音声が合っていない、不自然なまばたき、輪郭のゆがみなどです。多くの詐欺師はいまだに、カメラを避けたり、画面外でコーチングを受けたりといった単純な手口に頼っていますが、面接でディープフェイク動画や音声クローンを使う攻撃者がいるという報告もあります。まだ稀ではありますが、こうしたツールがいかに急速に進化しているかを示しています。
彼らの目的は何か
詐欺師の動機は、単純な金銭目的から、システムへのフルアクセスまでさまざまです。
金銭的利益
一部のグループにとって、目的は単純に「お金」です。彼らはリモートで高給のポジションを狙い、実際の業務は裏でより安価な労働力に外注します。偽の応募者は給与を受け取り、その陰で別の人物がはるかに低いコストで仕事をこなします。これは数を打つゲームであり、通過する応募が多ければ多いほど、得られる収入も増えます。
身元・書類詐欺
別のグループは、「書類上の履歴」を作ることを狙っています。「採用された」という事実があれば、在職証明、給与支払いの履歴、正式な雇用契約書などを得ることができます。これらの書類は、後にビザ申請、銀行ローン、その他の身元や金融詐欺の裏付けとして利用される可能性があります。このようなケースでは、詐欺師は実際に働き始めるつもりがないこともあります。必要なのは、自分を正当な人物に見せるための書類だけなのです。
アルゴリズムのテストとデータ収集
一部の組織は、求人応募を「探り」と「学習」の手段として利用します。何千通もの履歴書を送り、スクリーニングソフトがどう反応するかを試し、どのような内容がフィルターをすり抜けるのかを逆算し、将来のキャンペーンに向けて採用担当者のメールパターンを収集します。これを大規模に行うことで、時間の経過とともに、より本物らしく応募者を模倣できる自動化システムを訓練していくのです。
サイバー犯罪のためのシステムアクセス
ここからは、リスクがさらに高まります。リモートポジションを獲得できれば、詐欺師は社内システム、企業データ、知的財産など、その職務が正当にアクセスできるあらゆるものに手を伸ばせるようになります。
詐欺師が採用されなかったとしても、採用プロセスに入り込むだけで、社内の詳細が露出します。チームがどのようにコミュニケーションをとっているのか、誰がどのような決定を下しているのか、どの役割がどのツールを使っているのか、といった情報です。こうした情報だけでも、後にもっともらしいなりすましを仕掛けるには十分です。この時点で、採用プロセスは組織への無防備な入り口になってしまいます。
より広いリスク(採用担当者だけの問題ではない)
影響を受けるのは採用担当者だけではありません。LinkedInや求人サイトを利用する一般の人々も、そのとばっちりを受ける可能性があります。
偽応募者ネットワークは、信憑性のある身元情報を作るために、公開プロフィールのスクレイピングに依存しています。LinkedInは2023年にボット対策チェックを導入しましたが、それでも偽プロフィールはすり抜けており、あなたの名前、写真、職歴が、知らないうちにコピーされ再利用される可能性があります。
また、偽のつながりリクエストを送りつけ、フィッシングメッセージや悪意ある求人情報、個人情報の収集を狙うこともあります。ポーツマス大学の最近の研究では、偽のソーシャルメディアアカウントは多くの人が思っている以上に一般的であることが示されました。
回答者の80%が不審なアカウントに遭遇したことがあると答え、77%が見知らぬ人からリンクリクエストを受け取ったことがあると回答しました。
これは、LinkedIn上の誰もが標的になり得るのであって、採用担当者だけの問題ではないということ、そして、こうしたプロフィールはまず信頼関係を築き、その後で悪意あるリンクや要求を紛れ込ませることが多いということを思い出させてくれます。
採用担当者が自分たちを守る方法
以下のステップに従うことで、差別的になったり、過度な負担をかけたりすることなく、スクリーニングを強化できます。
身元確認を早い段階で行う
可能な限り、カメラオンのビデオ通話から始めましょう。フィルターやディープフェイクの微妙な兆候を探します。不自然なまばたき、わずかにずれた口の動きと音声、顔の輪郭がゆがんだり遅れたりして見えるといった点です。違和感を覚えたら、「メガネを少し直してもらえますか」「ほおに軽く触れてもらえますか」といった簡単な依頼をすることで、本当に目の前の人物と話しているかどうかをすぐに確認できます。
詳細情報をクロスチェックする
基本情報が一致しているかを確認しましょう。応募者の顔は提出された身分証と一致している必要があり、タイムゾーンは本人が住んでいると主張する場所と合致しているべきです。職歴は、リファレンスチェックを行った際に裏付けが取れなければなりません。簡単な検索だけでも、重複した履歴書、使い回されたプロフィール、活動履歴が数カ月しかないLinkedInアカウントなどが見つかることがあります。
典型的なレッドフラグに注意する
多くの偽応募者は、質問が個人的または具体的になったところでボロを出します。履歴書は洗練されているのに中身が薄い、メッセージごとに文体が変わる、過去の役割やスケジュールについて話すときにためらいが見られる、といった点は、背後でコーチングを受けているサインになり得ます。回答前の長い沈黙は、画面外の誰かが答えを指示している可能性を示すことが多いです。
オンボーディングを安全に行う
誰かが選考を通過した場合でも、初期アクセスは慎重に扱いましょう。新入社員がアクセスできる範囲を制限し、初日から多要素認証を必須にし、そのデバイスがネットワークに接続される前にチェックされていることを確認します。早い段階からセキュリティチームを関与させることで、採用詐欺が意図せぬ侵入口になることを防げます。
まとめ
かつて採用は、最良の人材を見つけることが中心でした。今では、身元確認やセキュリティ意識もその一部になっています。
リモートワークが標準になりつつある中、詐欺師たちはますます巧妙になっています。偽応募者は一見すると単なる迷惑行為に見えるかもしれませんが、そのリスクはコンプライアンス違反からデータ流出、さらには大規模な侵害にまで及びます。
早期に兆候を見抜き、より強固なスクリーニングプロセスを構築することは、採用パイプラインだけでなく、組織全体を守ることにつながります。
