偽りの顔:Unit 42が実証する合成ID作成の驚くべき容易さ

エグゼクティブ サマリー

北朝鮮のIT労働者が、リアルタイムのディープフェイク技術を使用してリモートワークのポジションを獲得することで、組織に潜入していることが証拠をもって報告されています。これは重大なセキュリティ、法律、コンプライアンス上のリスクをもたらすものです。本レポートで概説する検出戦略を学ぶことで、セキュリティおよび人事チームは、こうした脅威に対して採用プロセスを強化するための実践的な指針を得ることができます。

弊社が行ったデモでは、入手が容易なツールと安価な民生用ハードウェアを使用して、リアルタイムのディープフェイクを作成する方法を理解するのに、経験がなくとも1時間強で達成できることが明らかになりました。説得力のある偽装IDの作成は敵対勢力にとってもはや困難な作業ではなく、これにより検出されずに活動したり、制裁を受けている政権に収益をもたらすことができるようになります。

現在のディープフェイク技術には毅然として限界がありますが、その限界は急速に取り払われつつあります。組織は多層防御を構築することが求められており、これには従業員のライフサイクルを通じた、検証手順の強化、技術的管理、継続的な監視を組み合わせる必要があります。

パロアルトネットワークスのお客様は、Unit 42 インサイダー脅威サービスをお求めいただくことで、本記事で取り上げる脅威から組織をより確実に保護することができます。

本脅威やその他の脅威に対する具体的な支援を仰ぐにあたって、Unit 42 インシデント レスポンス チームの参画をお求めいただけます。

北朝鮮労働者の面接

人材獲得とサイバーセキュリティのコミュニティでは最近、採用面接の際にリアルタイムのディープフェイクを使用する応募者が急増していることが報告されています。図1に示すように、異なる候補者プロファイル間で同一の仮想背景を使用し、面接に望む応募者が合成ビデオフィードを見せた事例が調査より報告されています。

Pragmatic Engineerニュースレターでは、ポーランドのAI企業が2人のディープフェイクを使用した候補者に遭遇した事例が紹介されています。面接官が両方のペルソナの背後に同じ人物がいるのではないかと疑ったことが説明されており、特に以前に面接の形式や質問を経験した後となる2回目の技術面接で著しく自信をもって面接に望まれたことから、その疑いが強まったとされています。

Unit 42がPragmatic Engineerの報告書で共有した指標の分析は、北朝鮮によるIT労働者作戦に起因した既知の戦術、技術、手順(TTP)と一致しています。これは、彼らが確立した職場への不正な潜入スキームに論理的進化があったことを意味します。

北朝鮮の脅威アクターは一貫して不正ID工作技術に大きな関心を示してきました。弊社が公開した2023年度調査では、危殆化した個人情報を支えに合成IDを作成することで検知をより困難にする脅威アクターの取り組みについて報告しています。

AI画像工作サービスであるCutout.proの侵害を分析したところ、北朝鮮のIT労働者の業務に関連していると思われる電子メールアドレスが多数発見されました。図2は、フェイススワップ顔写真に認められるこのような画像工作を示したものです。

北朝鮮のIT労働者は、リアルタイムのディープフェイク技術を導入することで、組織への侵入手法を段階的に進化させています。これには2つの大きなメリットがあります。第一に、異なる合成ペルソナを用いることで、一人の応募者が、同じポジションの面接を何度も受けることができます。第二に、特定されて図3に示すようなセキュリティー速報や指名手配通知に追加されるのを避けることができます。これらを組み合わせることで、北朝鮮のIT労働者は、作戦上のセキュリティを強化するとともに検出される可能性を減らすことができるのです。

図3.北朝鮮のIT労働者の指名手配ポスター、2025年3月20日検索。

ディープフェイク技術の向上

画像工作の経験はおろかディープフェイクの知識も乏しい研究者1人が、5年前のコンピュータを使用して就職面接用の合成IDを70分で作成することに成功しました。簡単に作成できるということは、この工作技術が脅威アクターにとっていかに手ごろなものとなっているかの危険性を示しています。

AI検索エンジンと十分なインターネット接続、そして2020年後半に購入したGTX 3070グラフィック プロセッシング ユニットだけを使って、脅威アクターは図4に示すサンプルを作成しています。

図4.安価で広く入手可能なハードウェアを用いたリアルタイムのディープフェイクのデモ。

脅威アクターが使用しているのは、thispersonnotexist[.]orgによって生成された単一画像のみです。thispersonnotexist[.]orgは、生成された顔を個人的および商業的な目的で使用することを許可しており、ディープフェイク用の無料ツールも公開されています。これらを用いて複数のIDを生成したものが図5です。

図5.アイデンティティ スイッチングのデモ。

シンプルなワードローブと背景画像を変えるだけで、採用担当者の前にまったく新しい候補者として再び現れることができます。実際、このプロセス全体で最も時間がかかったのは、ビデオ会議ソフトでキャプチャするために仮想カメラフィードを作成することでした。

もう少し時間をかけ、そしてより強力なグラフィック プロセッシング ユニットを使えば、同じプロセスで、より高解像度で説得力のある図6のような成果物が得られます。

図6.より多くのリソースを必要とする技術を使った、より高品質なディープフェイク。

検出の機会

リアルタイム ディープフェイク システムには、検出の機会につながる技術的な欠点がいくつかあります。

1. 時間的整合性の問題: 急速な頭の動きは、トラッキング システムがランドマークの正確な位置決めを維持するのを困難にし、顕著なアーチファクトを引き起こしました
2. 噛み合わせの処理: ディープフェイク使用者の手が顔前を通過したとき、ディープフェイク システムは、部分的に見えなくなった顔を適切に再構成することができなかった
3. 照明の適応: 照明条件に急激な変化があった際、特に顔の縁のレンダリングに矛盾が生じました
4. 音声と画像の同期: 注意深く観察すると、唇の動きと発話の間にわずかな遅れがあることが分かりました

現時点では、ディープフェイク技術の使用者を困らせる方法はいくつかあります。最も効果的な方法は、顔のランドマーク追跡を中断させるように、顔前に手を通過させることのようです。

ニューヨーク大学のGovind Mittal氏の彼のチームは、次のようなさらなる戦略を提案しています。

• 急速な頭の動き
• 誇張された表情
• 急激な照明の変化

これらのテクニックを使用することで、リアルタイム ディープフェイク システムの弱点を利用し、人間が高い精度でフェイクを見破るのに役立つ目に見えるアーティファクトを引き起こすことができます。

図7a～cでは、面接官のレパートリーに加えられるさらに3つのオプションを紹介します。

図7a.「耳から肩まで」

図7b."鼻のショー"

図7c."空か地面か"

緩和策

北朝鮮のIT労働者キャンペーンに対応するにあたって、人事(HR)チームと情報セキュリティ チームの緊密な連携が求められます。両者が連携することで、採用・雇用のライフサイクル全体にわたって、組織により多くの検出機会がもたらされます。

免責事項: 以下は、読者が考慮すべき洞察と提案を提供することを意図した緩和策です。情報提供のみを目的としており、法的な助言として扱われるものではありません。これらの慣行を実施する前に、自社の法律顧問に相談し、適用される法律との整合性を確認してください。

人事チーム向け:

• 初回面談を含む面接では、候補者にカメラありでの出席を求める
  • フォレンジック分析用にセッションを(適切な合意のうえで)録画する
• 以下を含む包括的な本人確認ワークフローを導入する:
  • 自動化されたフォレンジック ツールを使用した文書の真正性検証(セキュリティ機能、改ざんの指標、提出された文書全体の情報の一貫性をチェックする)
  • 統合された有効性検出機能を備えたID検証 (特定のリアルタイム アクションの実行中に候補者に物理的なIDの提示を求める)
  • 身分証明書と面接応募者を照合し、応募者がその身分証明書と一致することを確認する
• 不自然な目の動き、照明の不一致、音声と画像の同期の問題など、ビデオ面接で確認できる不審なパターンを特定するために、リクルーターと技術面接チームを訓練する
• 面接官に、ディープフェイク ソフトウェアにとって難しい動き(横顔のターン、顔の近くでの手のジェスチャー、急速な頭の動きなど)を候補者に求めることに慣れてもらう

セキュリティ チーム向け:

• 求人応募者のIPアドレスを記録し、匿名化されたインフラや不審な地理的地域からのものでないことを確認することで、採用パイプラインを確保する
• 提供された電話番号がVoIP(ボイス オーバー インターネット プロトコル)通信事業者であるかどうかを確認するため、特にID隠蔽によく関連する電話番号を調べる
• パートナー企業との情報共有契約を維持し、該当する情報共有・分析センター(ISAC)に参加し、最新の合成ID技術を常に把握することに努める
• 企業が管理するデバイスへのバーチャルWebカメラをインストールを許すソフトウェア アプリケーションを特定し、その使用に正当なビジネス上の理由がない場合はブロックする

その他のインジケーター:

• 採用後の異常なネットワーク アクセス パターン、特に匿名化サービスへの接続や不正なデータ転送を監視する
• デバイスの物理的な所有が必要な多要素認証方式を導入し、IDのなりすましをより困難にする

組織の方針に関する考慮事項:

• エスカレーション手順および証拠保全方法を含む、合成IDの疑いがあるケースの処理に関する明確なプロトコルを作成する
• 雇用に関与する全従業員に対し、合成IDの危険信号について教育するセキュリ ティ意識向上プログラムを作成する
• 追加の検証マイルストーンに達するまで、新入社員のアクセスを制限する技術的管理を確立する
• 検証の失敗を文書化し、適切な技術指標を業界パートナーおよび関連政府機関と共有する

このような検出と緩和にむけた多層防御戦略を導入することで、組織は合成ID侵入のリスクを大幅に低減することができ、同時に正当な候補者の効率的な採用プロセスを維持することができます。

結論

北朝鮮のIT労働者による活動に代表される合成IDの脅威は、世界中の組織にとって進化する課題です。弊社の研究では、AIが生成する顔、文書偽造ツール、リアルタイムの音声／映像工作技術がより洗練されてきており、また同時に容易に利用できるようになるにつれて、技術的障壁が継続的に低下し、合成ID作成が驚くほど容易になっている現状が示されました。

合成ID技術が進化し続ける中、組織は以下を組み合わせた多層防御戦略を実施する必要があります。

• 検証プロセスの強化
• AIを利用したディープフェイク検出対策
• 雇用期間中の継続的検証

このアプローチを採ることで、組織は北朝鮮のIT労働者だけでなく、様々な類似の脅威に対する検知・緩和能力を大幅に向上させることができます。

単一の検出方法によって合成IDの脅威からの防御を保証することはできませんが、多層防御戦略を採用することで、これらのリスクを特定し軽減する組織の能力が大幅に向上します。人事のベストプラクティスとセキュリティ管理を組み合わせることで、効率的な採用プロセスを維持しながら、北朝鮮のIT労働者や同様の脅威アクターが実践する巧妙な手口から保護することができます。

パロアルトネットワークスをご利用のお客様は、Unit 42インサイダー脅威サービスを通じて、上記の脅威に対してより強固な保護を構築し、検出と修復を総合的に改善することができます。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、 Unit 42インシデント レスポンス チームにご連絡ください。また以下の連絡先までお電話ください。

• 北米: フリーダイヤル+1 (866) 486-4842 (866.4.unit42)
• 英国+44.20.3743.3660
• ヨーロッパおよび中東+31.20.299.3130
• アジア+65.6983.8730
• 日本+81.50.1790.0200
• オーストラリア+61.2.4062.7950
• インド: 00080005045107

パロアルトネットワークスは、この調査結果をサイバー脅威アライアンス(CTA)のメンバーと共有しました。CTAの会員は、この情報を利用して、その顧客に対して迅速に保護を提供し、悪意のあるサイバー アクターを組織的に妨害しています。サイバー脅威同盟について詳しく読む。

その他のリソース

• BeaverTail ビデオ会議アプリのフィッシング攻撃に関連した北朝鮮の偽装IT労働者- Unit 42、パロアルトネットワークス
• 知らぬ間に北朝鮮に金を払っているグローバル企業: その捕らえ方-Unit 42、パロアルトネットワークス
• 雇用主をハッキングし、雇用を求める: 北朝鮮の脅威アクターの特徴を示す2つの職務関連キャンペーン- Unit 42、パロアルトネットワークス
• 伝染インタビュー: 北朝鮮の脅威アクター、ハイテク業界の求職者を誘いマルウェア「BeaverTail」と「InvisibleFerret」の新バリエーションをインストール- Unit 42、パロアルトネットワークス
• 偽装を見破る: チャレンジ レスポンスでリアルタイム動画ディープフェイクの検出に成功- Govind Mittal, Chinmay Hegde、Nasir Memon
• 技術開発者採用で発覚したAIを使った捏造: 事後報告- Gergely Orosz、プラグマティック エンジニア
• ディープフェイクを使った面接ではこうなる- Billy Hurley、IT Brew
• Webにおけるディープフェイク詐欺キャンペーンの新たなダイナミクス- Unit 42