生成AIサービスを悪用した北朝鮮労働者のリモート勤務契約
ここ数か月、Oktaの脅威インテリジェンスチームは、朝鮮民主主義人民共和国(DPRK:北朝鮮)の代理人といわれる人物が使用しているオンラインサービスについて、詳細な調査を実施しました。
この調査をとおして、北朝鮮国籍の人物が身分を偽って技術職として採用されるための重要な手段として生成AI(GenAI)が活用されているという事実が明確になりました。これはいわゆる「DPRK IT Workers」や「Wagemole」キャンペーンとして知られています。
生成AIは、求人応募や面接のあらゆる段階で魅力的な候補者を偽るために使用されており、雇用された後も複数の職務を同時に維持するための補助ツールとして活用されています。これにより北朝鮮国家の収益が得られていると考えられます。
Oktaは、以下のような複数のAIサービスの使用を確認しています:
- モバイルアカウント、メッセージアプリ、Eメールなど複数の候補者の通信を一元管理
- 通信内容の翻訳、文字起こし、要約
- 履歴書やカバーレターの生成と添削
- チャットやWebカメラを使った模擬面接
- 求人への応募が書類選考を通過する確率のテストと最適化
また、オンラインの配送・物流サービスの利用も確認しています。これらは、企業から支給されたデバイスを西側諸国にある「ラップトップファーム」へ転送するために使われていると推測しています。「ラップトップファーム」とは場所貸しの一種であり、西側諸国にある保管されたデバイスを遠隔操作することで西欧諸国から働いていると偽ることが可能です。
背景
複数の逮捕や起訴を通じて、北朝鮮の代理として活動する人物が隣接国に移動し、世界中の企業で不正に雇用されている実態が明らかになっています。
この取り組みの主な目的は、国際制裁によって失われた収入を補うために国家へ資金を供給することです。中には、就業を通じて得られたシステムアクセスが、スパイ活動やデータ恐喝に悪用されたケースも確認されています。
これらの不正就労のターゲットは、ITやソフトウェアエンジニアなどのリモート環境での勤務を受け入れやすい企業であり、とりわけ技術系企業が狙われやすくなっています。ただし、攻撃対象は技術系企業に限られているわけではありません。
Oktaは、特に標的とされたお客様・パートナーと連携し、この特異な脅威モデルに対する予防策の策定に取り組んでいます。この過程で、採用・入社プロセスの見直し、啓発資料の共有、検出手法の開発などを進めてきました。
こうした調査結果は、Okta Workforce Identityの機能強化(たとえばアイデンティティ検証サービスなど)にも直接反映されており、お客様はこれを活用して脅威への露出を減らすことができます。
ファシリテーター(仲介者)
この脅威を理解するためには、雇用スキームに関与する「仲介者」が使用するツールを理解することが重要です。
仲介者は、制裁対象国の人物が雇用を得て維持できるよう、現地支援、技術インフラ、合法的なビジネスプロセスの代行などを提供します。
米国で摘発された仲介者たちは、以下のような支援を北朝鮮国籍者に提供していたとされています:
- 採用プロセスでの直接支援
- 支給デバイスの配送先としての国内住所提供
- 正規の身分証の提供
- 支給デバイスの代理操作
- RMM(リモート管理・監視)ツールのインストール
- 必要に応じた認証手続きの代理実行
2024年5月に明らかになったアリゾナ州拠点の「ラップトップファーム」では、300人以上の北朝鮮系技術職が米国内で就業していたとされ、また2024年1月にはノースカロライナ州で、64社に不正に就職しラップトップファームを運営していたとして2名が起訴されています。
Oktaは、これらの詐欺的就労スキームに関与する仲介者が、いかに生成AIを活用してその業務を拡大しているかについて初めて詳細を明らかにしました。
AIツールの悪用
最近では、北朝鮮が作成したと強く疑われる候補者が、面接中にリアルタイムの「ディープフェイク」映像を使用している事例も確認されています。
さらに、Oktaの調査では、これらのスキームにおいてより広範な生成AIサービスが使用されていることが明らかになっており、仲介者たちがAI技術の進化に追随しようとしている様子が見て取れます。
以下のようなAIベースのサービスが観測されています:
- 統合メッセージング
- 求人投稿・応募プラットフォーム
- 履歴書スクリーニング
- 候補者管理
- 模擬面接
- チャットボット
- コードトレーニング
- オンライン配送・転送サービス
Oktaはログイン後の動作は観測できませんが、これらのツールの機能に基づいて、可能性の高い用途を以下の表にまとめています。
なお、ツール例として言及されているサービス提供者には事前に同意を得ており、不正行為への関与を示唆するものではありません。
|
サービスカテゴリ |
タスク |
AIの役割 |
|
統合メッセージング |
制裁対象国出身の複数候補者に代わって通信を管理する。 |
これらのツールに搭載されたAIエージェントは、通話の要約や文字起こしサービスを提供。 |
|
求人投稿・応募プラットフォーム |
標的企業に類似した求人を投稿し、正規の応募がどの程度成功するかをテスト。 |
ATS(応募者追跡システム)を通じ自動選考の通過可否を確認できる。正規応募者のCV/カバーレターが、北朝鮮候補者用の応募最適化の学習セットとして使用される可能性がある。 |
|
履歴書スクリーニング |
制裁対象国出身の複数候補者に代わって履歴書を最適化。 |
ATSにCVをテスト的にアップロードし、どういったプロファイルの人物がターゲット求人において成功するかを学習。 |
|
候補者管理 |
一人の管理者が複数候補者による複数の求人応募を管理。 |
複数応募の進捗を自動で追跡・管理するAIツールを活用。 |
|
模擬面接 |
AIエージェントが候補者のプレゼンスや回答を評価する模擬面接(ビデオ・テキスト)を実施。 |
ディープフェイクの精度や、用意された面接回答スクリプトの効果を検証可能。 |
|
チャットボット |
面接中や業務中に質問へ回答したりタスクを実行。 |
仲介者が候補者に代わって面接に臨む際や、候補者が業務を遂行する際にリアルタイムで利用される。 |
|
コードトレーニング |
採用企業が求める新しい技術スキルを迅速に習得。 |
必要な最低限の技術スキルを短期間で学習し、雇用の獲得・維持を可能にする。 |
表1:北朝鮮の“Wagemole”キャンペーンにおいて仲介者が使用するAIサービスとその他のツール
1. 統合メッセージング
仲介者にとって最も厄介な課題のひとつは、制裁対象国出身の多数の候補者に代わって、マルチチャネルでの通信をどう管理するかという点です。
Oktaは、統合メッセージングサービスを用いて、多数のモバイルアカウント、インスタントメッセージ、Eメール、その他のチャットサービスを単一のインターフェースで管理している様子を確認しました。こうした生成AI対応のサービスは、少人数の仲介者が多数の北朝鮮候補者の面接日程を調整するために不可欠です。
これらのサービスは、会話の文字起こしや要約、音声とテキストのリアルタイム翻訳など、多岐にわたるAI機能を備えています。
2. 履歴書スクリーニング
Oktaは、仲介者が応募の成功率を高めるために、カバーレターや履歴書、模擬面接の準備を徹底していると判断しています。
仲介者が利用しているサービスの中には、応募者が「雇用主のロボット(=自動スクリーニング)」を出し抜くための機能を提供すると謳うものもあり、履歴書がリクルーティングプラットフォーム上のATS(応募者追跡システム)を通過できる確率を高めるよう設計されています。
これらのサービスでは、履歴書をアップロードし、AIがATSに対してテストを行い、より高評価を得られるように繰り返し調整します。その過程で、どういった候補者のプロファイルがどの職種において成功しやすいかが学習されていきます。
3. 求人投稿・応募プラットフォーム
仲介者と候補者は、職を探すための求人プラットフォームを広範に利用しています。
注目すべき点は、本来は採用担当者向けに設計されているAI求人プラットフォームを、候補者側(あるいはその支援者)も活用していることです。これにより、求人情報の露出拡大やマッチング精度の向上が可能になります。
これらのツールへのアクセスにより、仲介者は、ターゲット企業の求人とほぼ同一の職種を、フロント企業名義で広告として出すことが可能になります。その結果、正規求職者から送られてくる履歴書を収集・分析でき、北朝鮮候補者向けの将来的な応募最適化に活用される恐れがあります。
また、これらの求人プラットフォームは実際の採用現場で使われているATSへのアクセスも提供しており、採用担当者が手作業で確認する前に応募者を絞り込む仕組みになっています。仲介者が偽の求人を掲載することで、どのような履歴書がAIスクリーニングで高評価を得るかを研究できるのです。
大規模に実施されることで、これらの技術は応募成功率を飛躍的に高め、まさに「採用担当者のツールを武器として逆手に取る」戦略といえます。
4. 候補者管理
Oktaは、生成AIエージェントを活用して、候補者に代わり応募フォームを自動入力したり、応募の進捗状況を追跡するサービスの利用も確認しています。
この種のツールは、複数の候補者とそのペルソナを、複数のタイムゾーンにわたって同時に管理するという、極めて複雑なオペレーションを効率化する上で重要な役割を果たします。
5. 模擬面接
応募が通過した後、次に仲介者が担うのは、候補者(あるいは時には仲介者本人)を面接に向けて準備させることです。
AI型の模擬面接サービスでは、生成AIエージェントが一次面接をホスト・録画し、面接者への改善点をフィードバックします。
これらの自動化された「AIによるWebカメラ面接レビュー」サービスは、照明やビデオフィルター、会話スタイルなどの最適化もサポートするとされています。
Oktaは、こうした模擬面接を通じて、ディープフェイク映像の効果や、よく練られた回答スクリプトの実用性を検証していると考えています。これにより、詐称が発覚するリスクを低下させているのです。
6. チャットボット
仲介者が使う生成AIアプリの多くは、トレーニングやリクルート目的のものですが、Oktaでは、より一般的なLLM(大規模言語モデル)搭載チャットボットへの継続的なアクセスも確認しています。
行動パターンを分析すると、こうしたチャットボットは応募プロセスの各段階だけでなく、就職後にも継続的に使用されていると見られます。
7. コードトレーニング
候補者は、特定のプログラミング言語やAIツールについて基礎的な知識を提供する無料のトレーニングサービスにもアクセスしています。これらのサービスにより、面接で問われる技術スキルを最低限習得し、雇用獲得後も一定期間は業務継続が可能となります。
AIの“パワーユーザー”
このようにAIツールを広範に活用することで、最低限のスキルしか持たない非英語圏出身者でも、ソフトウェアエンジニアとして雇用を維持し、北朝鮮への収益供給を行うことが可能になっています。
観測されたスキームの規模を見る限り、数週間〜数か月という短期間の就業であっても、自動化と生成AIを駆使することで、北朝鮮にとっては十分な経済的メリットがあると考えられます。
リスクを軽減するための対策
このようなスキームによるリスクを軽減するために、Oktaは以下の対策を推奨しています:
- 重要な業務プロセスに本人確認(Identity Verification)を組み込むこと
→ 採用やオンボーディングなど、リスクの高いプロセスで本人確認を行うことにより、なりすましや不正ペルソナの排除に繋がります。
- 従業員に対し、詐欺的行動のよくある兆候について教育すること
→ 採用担当者や人事部門が、不自然な応募内容ややり取りに早期に気づけるようにすることが重要です。
- RMM(リモート管理・監視)ツールの不正使用を検知すること
→ 仲介者がリモートでデバイスを操作するために使うRMMツールの検出は、雇用詐欺の早期発見につながります。