生成AI偽装で就労、日本企業に潜入した北朝鮮IT労働者の手口

2025年4月、警視庁の発表により、北朝鮮のIT労働者が日本人になりすまし、国内企業のアプリ開発業務などを受注していた事例が明らかになった。
生成AIやディープフェイク技術を用いた偽装が巧妙化しており、国内外でサイバーセキュリティへの懸念が高まっている。

生成AIとディープフェイクを悪用した偽装手法

今回の事案では、北朝鮮のIT労働者が生成AIで加工した写真を使い、日本人になりすまして企業へ応募した。
リモート面接を経て採用され、業務開始後に不審なアクセスが確認されるまで、企業側は異変に気づかなかったとされている。警視庁は、この労働者が北朝鮮の国家的な資金獲得活動に関与していた可能性があると見て捜査を進めている。

注目すべきは、応募に用いられた素材が高度なディープフェイクによって偽装されていた点である。
本人確認書類も精巧に偽造されており、企業側はこれを真正な情報として扱っていた。
多くの採用プロセスがオンライン化するなか、視覚的情報への依存度が増し、生成AIの悪用が新たなセキュリティリスクとなっている。

事件を受けて、警察庁は全国の企業に対し注意喚起を行っている。
世界中の組織が、北朝鮮の偽IT労働者を誤って雇用している可能性もあるため、国際的なサイバーセキュリティ体制の強化が急務である状況だ。
今回の事案は、もはや個別企業の問題ではなく、国家安全保障にも関わるレベルの問題であることを示唆している。

今後の展望

北朝鮮のIT労働者による偽装就労事件は、生成AIとディープフェイク技術の悪用がもたらす新たな脅威を浮き彫りにした。
技術の進化に伴い、従来の本人確認手法では不正を見抜くことが難しくなっている。
特に、画像や映像の偽造が容易になった現在、企業はより高度な認証手段を導入する必要がある。

政府は、犯罪収益移転防止法の改正を通じて、eKYCの手法を見直し、マイナンバーカードを活用した公的個人認証サービス（JPKI）への移行を進めている。
これにより、本人確認書類の画像送信による認証方式は廃止され、ICチップ情報の読み取りや電子証明書を用いた方式が主流となる見込みだ。
このような技術的な進展は、不正のリスクを低減させると期待されている。

しかし、技術の導入だけでは十分とは言えない。
企業は、採用プロセスにおいて多層的な本人確認を実施し、リモート面接時にはAIによる偽装検知システムを活用するなど、総合的な対策を講じる必要があるだろう。
また、従業員や採用担当者に対する教育を強化し、生成AIのリスクに対する理解を深めることも重要だ。

ディープフェイク技術のさらなる進化が予想される中では、企業と政府が連携して、今後の法制度の整備や技術的な対策を進めることが必要だ。
サイバーセキュリティの強化と国家安全保障の確保が課題となるだろう。