1.なりすましIT人材とは

世界的なDXの進展に伴い、国境を超えてIT人材を活用する企業が登場している。ビジネスの現場でデジタル化を進めるうえで、高度な技術を有するIT人材の需要は大いに高まっている。特にプログラミングやデータベースの開発を行えるIT人材は貴重な存在であり、リモートワークの拡大もあってオンラインでの受発注が進んだことから、国境を超えて採用されるようになっている。昨今では、ロシアのウクライナ侵攻に伴い仕事を失ったウクライナのIT人材を日本企業が採用したことなどが、その典型的な事例と言えるだろう。

国境を超えてIT人材の活用が進む中、従来の対面での採用では考えられなかった問題として、他人になりすまして応募するという事象が発生している。なりすましとは、悪意のある者が別人を装いシステムを利用したり、あるいは第三者とコミュニケーションしたりする行為を意味する。米国政府は、IT人材の雇用における脅威として、IT人材が身元を隠して仕事を受注するなりすましに注目している。

本稿では、悪意のあるIT人材が行うなりすましの実態を概観し、グローバル化が進むIT人材活用において台頭するこの新たな脅威について考察する。

2.なりすましIT人材の実態

国境を越えてIT人材採用の活用が進む中、他人になりすまして仕事を受注する不正行為を行う事例として、北朝鮮IT人材の活動が挙げられる。

米国政府は、2022年5月16日に「朝鮮民主主義人民共和国の情報技術労働者に関するガイダンス」を公開している。このガイダンスの中で米国政府は、北朝鮮IT人材関連の活動に従事または支援し、関連する金融取引を処理する個人および団体には、風評リスクと、米国および国連当局による制裁指定などの法的影響が生じる可能性を挙げている（注1）。

米国政府は、ガイダンスの中で、北朝鮮のIT人材は、兵器開発プログラムなどの北朝鮮政権の経済および安全保障上の最優先事項の資金源になっていると指摘する。また、北朝鮮の金正恩委員長は、IT人材が重要な外貨収入源であることを認識し、その業務を支援していると分析している。国外で活動する北朝鮮IT人材は、国外の工場や建設プロジェクトで働く北朝鮮労働者の少なくとも10倍以上の収入を得ているとされる（注2）。

実際、北朝鮮IT人材が身元を隠し、リモートワーカーとして働くためのなりすましは巧妙化している。米国国務省によると、北朝鮮のなりすましIT人材がどのようにして報酬を得ているのかが明らかとなっており、その全体像は6工程から構成されている（図表1）。最初に、北朝鮮のIT人材は、身元を曖昧にするプロキシと呼ばれる仕組みを利用する。プロキシを利用することによりインターネット上における身元が曖昧になる状態を創り出せる。次に、フリーランスプラットフォームにアカウントを開設し、不正または改ざんされた身分証明書や資格情報を提出する。また、デジタル決済サービスのアカウントを開設し、不正に変更された身分証明書や認証情報を提出する。これらの不正行為により他人に成りすましたIT人材は、フリーランスプラットフォーム上で顧客から仕事を受注し、パソコンを通じて顧客との業務コミュニケーションを始める。仕事が完成すると、なりすましに気づかない顧客は、不正に開設された口座とは知らずに報酬を支払ってしまう。

ガイダンスの中では、これらのなりすましリモートワーカーを見極めるための方法として、北朝鮮IT人材が活動している可能性を示す4つの「危険信号」と、企業が不用意に北朝鮮IT人材を雇用することを防ぐ7つの「デューデリジェンス手段（取引先の価値やリスクなどを調査すること）」が明示されている（図表2）。

また、米国政府は、高度化するなりすましの実態についても報告している。高度化するなりすましの事例として、FBIインターネット犯罪苦情センター（以下FBI）は、顔や声を他人になりすまし、企業のオンライン面接を経て雇用されるIT人材の存在を挙げている。FBIによる警告は、2022年6月28日に公開されている（図表3）。その概要は、様々なリモートワークや在宅勤務の職種に応募するために、他人になりすませる技術であるディープフェイクと盗まれた個人識別情報を使用し、企業の面接を受ける応募者が増加している現状があると警告している。ディープフェイクとは、ビデオ、画像、音声などを利用し、オンライン上の表情や声色を改変・操作し、第三者になりすますことが可能な技術である。ディープフェイクを活用するオンライン面接では、カメラで撮影された面接者の動作や唇の動きが、話している人の音声と完全に一致しておらず、また、咳やくしゃみなどの聴覚的な動作と、視覚的な動作が一致しないことがあると指摘している。この警告文書の中では、リモートワークや在宅勤務の対象となる職種として、情報技術、コンピュータープログラミング、データベース、ソフトウェア関連などが挙げられている（注3）。

3.なりすましIT人材を見極める必要性

以上みてきたように、他人になりすまして企業から仕事を受注し、報酬を得ているIT人材が存在する。本稿では、北朝鮮によるIT人材のなりすましの実態を見てきたが、このようななりすましは、北朝鮮に限らず悪意をもつIT人材が不正に仕事を受注する手段の1つと言えるだろう。

世界中で優秀なIT人材の争奪戦が起きており、企業がIT人材の即戦力を求める状況が続いている。国境を超えて活躍するIT人材は、企業のIT実践力を高めるために有効な人的リソースになりうる。技術力のあるIT人材は、世界中どこからでもリモートワークで従事できるため、今後も国境をこえたIT人材雇用は拡大するであろう。

このようにIT人材の雇用がグローバル化する中、国境を越えて活躍するIT人材に仕事を発注するうえで、提出された身元確認書類を精査し、きめ細かいビデオ面接を行うなどのデューデリジェンスの実践が欠かせない時代が到来している。