生成AIで写真合成、面接も通過…北朝鮮IT労働者の「成り済まし」、本人確認に課題も

北朝鮮のIT労働者とみられる人物が日本人に成り済まし、企業からアプリ開発などの仕事を受注していたことが4月、警視庁の捜査で明らかになった。こうした偽装IT労働者は、サイバー攻撃を通じた北朝鮮側の資金獲得にも関与しているとみられ、各国が警戒している。生成AIを用いた偽装の手口も確認されており、識者は「企業の情報流出のリスクに加え、資金の軍事利用など安全保障上の問題もある」と指摘する。

4度の面接を通過

「世界中の何千もの組織が、北朝鮮の偽IT労働者を誤って雇用している可能性がある」

米国に本社を置くセキュリティー関連会社「KnowBe4（ノウビフォー）」は昨年、身分を偽って応募してきた北朝鮮IT労働者とみられる人物を採用していたことを公式ブログで公表し、警鐘を鳴らした。

同社によると、その人物はソフトウエアエンジニアの求人に応募。書類審査や4回のリモート面接、身分証確認などを経て採用されたが、業務開始直後に同社のセキュリティーソフトが不審な行動を検知した。担当者がこの人物に音声チャットを求めたところ、「音声が聞こえない」などと回答し、その後、連絡が途切れたという。

同社が米連邦捜査局（FBI）などと連携して調査した結果、応募書類に添付されていた写真はAIで加工された精巧な偽画像「ディープフェイク」で、身分情報も盗まれたものであることが判明。同社では新入社員のアクセス範囲を制限する対策を取っており、情報流出などの被害はなかったという。

リアルタイムで画像生成

同種の事案は各国で報告され、その〝戦術〟は巧妙化している。

昨年3月の国連安全保障理事会の専門家パネルの報告書によると、写真の加工だけでなく、採用面接の質問に対する回答作成に「チャットGPT」などの生成AIが用いられている可能性があるという。リアルタイムの画像生成や顔の入れ替え、全身アニメーションなど、より高度なAIの使用も予想されている。

こうした成り済ましについて、日本国内では昨年3月、警察庁などが注意喚起を実施したが、対策は難航しているのが現状だ。

今年4月に警視庁公安部が協力者を摘発したケースでは、北朝鮮のIT労働者とみられる人物が、日本の知人から運転免許証の画像の提供を受け、日本人に成り済まして仲介サイトに登録。捜査関係者によると、このサイトには身分証なしでも登録でき、身分証を提示すると認証が付いて信頼性が高まる仕組みだった。

「本人確認が徹底されているとはいえず、偽装が発覚した段階ではすでに情報を抜き取られている可能性がある」。警察関係者は危機感を強めている。

本人確認、仕組み整備を

サイバーセキュリティーに詳しい明治大の湯浅墾道教授は、こうした現状について「IT業界の多重下請け構造に加え、新型コロナウイルス禍をきっかけに、スマートフォンだけで完結する非対面の雇用契約が広がったことなどが背景にある」とした上で、企業へのサイバー攻撃の可能性も念頭に「情報保全や国の安全保障上の重大な脅威だ」と指摘する。

対策については「日本では特に、企業側が個人情報の取得に消極的な風潮がある。雇用時の本人確認徹底を促す根拠となるような法律の整備も必要ではないか」としている。

北朝鮮のIT労働者「日本人成り済まし」を幇助か　警視庁が容疑で日本人の男2人を書類送検