イワンは書類上、十分な資格を備えているように見えた。音声認証プラットフォームを提供するPindrop Securityのシニアエンジニア職は、このロシア人プログラマーのスキルセットにぴったり合うように思えた。
しかし、Pindropの採用担当者がイワンにビデオ面接を実施したところ、ただちに何かがおかしいことが明らかになった。彼の表情は言葉に遅れてついてきて、出来の悪い吹き替え映画が同期から外れるようだった。予想外の技術的な質問を受けると、イワンは不自然なほど長く間を置いた。言い換えれば、回答を処理してから再生するのに、ちょうどよい時間だったということだ。
Pindropにとって幸いだったのは、同社の中核事業が不正検知である点だ。イワンはすぐに正体を見破られた。採用されるためにディープフェイクソフトウェアを使う詐欺師だったのである。
「25年以上にわたり人事に携わり、採用では数え切れないほどの課題に直面してきた。しかし、いま私たちが直面する新たな脅威ほどのものはなかった」と、Pindropの最高人事責任者(CPO)であるクリスティン・アルドリッチ氏は、この事件を詳述したブログ投稿で述べている。「詐欺的なプロフィールやディープフェイク候補者の台頭は、多くの人が予想もしなかった形で採用の風景を変えつつある」
AIは雇用主と求職者双方にとって、採用を多くの有益な形で変えてきた。だがディープフェイク技術は、憂慮すべき新たなレベルの不正も生み出している。そしてそれは、多くの企業の備えを上回る速度で進んでいる。ここでは、この不穏な「偽装」の波に先回りし、自信を持って採用するためのリーダー向け助言を示したい。
問題の規模
残念ながら、Pindropの経験は例外ではない。GetReal Securityによる2025年のレポートでは、ITおよびセキュリティ部門のリーダーの41%が、自社で詐欺的な候補者を採用しオンボーディングまで行ったことがあると報告されている。採用担当者の62%は、いまや求職者のほうが採用担当者が見抜く能力を上回って、AIで身元を偽装できるようになったと考えている。Gartnerは、2028年までに世界の候補者プロフィールの4件に1件が偽物になると予測している。
テック企業なら騙されにくいと思うかもしれないが、実際にはそうした企業こそが標的にされることが多い。組織に欺瞞の見分け方を教えること自体を事業とするサイバーセキュリティ企業KnowBe4は、4回のビデオ面接を実施し、バックグラウンドチェックを行い、推薦状も確認したうえで、北朝鮮の工作員を主任ソフトウェアエンジニアとして採用してしまった。ワークステーションが届いた瞬間、工作員はそれにマルウェアを読み込み始めた。KnowBe4のセキュリティツールが25分以内に検知したが、残念ながら、ほとんどの企業はそのようなツールを持っていない。
司法当局は、北朝鮮が関与するIT詐欺に対して対応している。6月には、16州にまたがる「ラップトップファーム」を摘発する大規模な作戦を実施した。関与したとされる2人も起訴され、そのうち1人はFBIに逮捕された。
しかし問題は、工作員が1人や2人いるといった話にとどまらない。すでに不正の「エコシステム」全体が形成されているのだ。そしてPindropやKnowBe4、さらに多くの企業が痛感しているように、それを見分けるのは驚くほど難しい。
採用が脆弱性になるとき
2020年、パンデミック下でリモートワークが当たり前になると、組織にとっては追い風に見えた。間接費の削減、グローバル人材へのアクセス、採用プロセスの迅速化である。パンデミック以前、リモートだった仕事は全体の約4%にすぎなかった。現在では、200万件超の求人を分析したRobert Halfによれば、リモートおよびハイブリッド職は新規求人全体の3分の1超を占めるという。
多くの組織がリモートワークを引き続き受け入れているが、この変化は隙を生んだ。対面で握手すらしないまま、採用から入社手続きまで進められるようになったのだ。同時にディープフェイクは、かつてないほど説得力を増している。履歴書、推薦状、身元は比較的容易に改ざんできる。リアルタイムの面接でさえ、もっともらしく偽装可能になった。
「生成AIは、人間であることと機械であることの境界を曖昧にした」と、PindropのCEO兼共同創業者ヴィジャイ・バラスブラマニヤン氏はCNBCに語っている。問題は、従来の採用プロセスが、身元偽装が困難でコストも高かった世界を前提に設計されている点だ。もはやそうではない。そしてプロセスを見直していない企業ほど、リスクにさらされる。
リーダーが不正な人物を排除する方法
良いニュースは、こうした詐欺へのリスクを軽減することは可能だという点である。
皮肉なことに、最良の防御策の1つは、まさにAIが可能にすることでもある。対面で候補者と会う面接に、より多くの時間を割くことだ。今日のAIツールの利点は、忙殺される採用マネジャーから雑務を引き受け、候補者を丁寧に見極めるための時間を確保できるところにある。
対面面接が現実的でない場合でも、オンラインで偽の候補者をふるい落とす方法はある。ビデオ面接では、背景フィルターやぼかしを使わず、カメラをオンにすることを必須にする。履歴書から外れた、台本のない雑談的な質問を投げかける。ディープフェイク候補者や指示を受けた代理人は、準備された質問には滑らかに対応しがちだが、会話が予想外の方向へ進むと失速しやすい。
最後に、新入社員の身元が完全に確認されるまで、システムアクセスを制限することだ。KnowBe4では、オンボーディング時の限定的な権限が、結果として被害の封じ込めにつながった。工作員は職とノートPCを得たものの、アクセスがまだ付与されていなかったため、本当に重大な害を及ぼすことはできなかった。
リモート採用はなくならないし、なくなるべきでもない。しかし、それを支えてきた暗黙の信頼は、より意図的なものに置き換える必要がある。企業はセキュリティに対するこれら新たな脅威を認識し、先回りして対処しなければならない。注意喚起のブログ記事を次に出す企業になりたくはないはずだ。
