テクノロジー業界を中心に吹き荒れているレイオフの嵐のせいで、このところ求人関連の詐欺事件が増えているとサイバーセキュリティの専門家は警鐘を鳴らす。
こうした詐欺は大きな損害をもたらすことがある。よりによって余裕のない時期に貴重なお金と個人情報を失うばかりか、盗まれた情報を使って、さらになりすましなどの被害に遭うかもしれない。
突然知らない相手からメールやテキストメッセージが届き、うまい求人があると言われたら、多くの人は反射的に身構えるだろう。しかし近年は「LinkedIn」などの求職サイトや「Facebook」グループなどのソーシャルメディアにも詐欺の書き込みがあり、身元を偽って求職者をだまそうとする事例が増えている。
この件についてFacebookの運営元であるMetaに何度かコメントを求めたが、回答は得られなかった。
人間は苦境にあると、普段ならすぐ気が付くような、明らかにうさんくさい話にもだまされてしまうと指摘するのは、サイバーセキュリティ企業ZeroFoxのインテリジェンス担当バイスプレジデント、AJ Nash氏だ。
「詐欺師は希望にあふれた人間と絶望している人間を食い物にする」と、Nash氏は言う。つまり、職を失ったばかりの人だけでなく、大学を卒業したての若者もターゲットになりやすい。「疑いの気持ちを忘れてしまう」からだ。
詐欺師は、応募手数料や入社に向けた機材費用といった名目で金銭を要求したり、給与の支払いや身元調査のために必要だと偽って、社会保障番号などの個人情報を聞き出そうとしたりする。この手の要求はほぼすべて詐欺だと同氏は言う。
Facebookに投稿された偽の求人例
提供:ZeroFox
McAfeeの上級バイスプレジデント兼最高技術責任者(CTO)のSteve Grobman氏は、リモートワークが広がり、採用面接がインターネット上で行われるケースが増えていることも、この手の詐欺の増加に拍車をかけていると述べる。
対面の採用面接では詐欺を見破りやすいと同氏は言う。本物そっくりのオフィスを実際に作ることは不可能でも、企業のウェブサイトを真似て、Zoomで偽の面接を行うことは難しくない。
初歩的な詐欺では、メールやテキストメッセージを何百万通も無差別に送りつける。その多くはスパムフィルターではじかれるか、受信箱に届いてもすぐに削除されてしまうが、まれに返信する人がいる。
「この手の詐欺は宝くじのようなものだ」と、Grobman氏は言う。成功率は低いが、当たりが出れば利益は出る。
もっと危険なのは、標的型の攻撃だ。サイバー犯罪者は求職者の経歴や資格を調べ、LinkedInなどの大手求人サイトを通じて個人的に連絡を取る。多くの場合、偽のアカウントを使ってヘッドハンターや実在する企業の採用担当者になりすます。
セキュリティの専門家は、ソーシャルメディアを使う時はアカウントを非公開にし、交流相手を面識のある「友達」に限定するとともに、個人情報を共有しすぎないようアドバイスするが、この戦術はLinkedInのようなネットワークには通用しない。
これらのサイトは、特に積極的に仕事を探している場合、自分の職歴を細かく掲載して、過去に一緒に仕事をした人や、同じ業界で働いている人とのつながりを促す設計になっているからだ。
そのため、サイバー犯罪者がつけいる隙が多いとNash氏は言う。
「LinkedInなどで活発に交流している場合は特に警戒が必要だ」と同氏は指摘する。LinkedInも、詐欺師や偽アカウントの排除に全力で取り組んでいるが、いたちごっこになっているという。
同社の製品管理担当バイスプレジデントOscar Rodriguez氏は米CNETに対し、ユーザーを守るための技術的なソリューションに継続的に投資していること、ここ数カ月間にインターネット上で詐欺行為があったことを認めた。
「当社は人工知能(AI)システムなどのテクノロジーと専門家チームを通じて、不正行為の大部分をユーザーが目にする前に阻止している」(Rodriguez氏)
同氏によれば、LinkedInは最近ユーザーの安全を守るための新ツールを導入した。このツールを使うと、アカウントにひも付けられている電話番号やメールアドレスが認証済みかどうかを確認し、怪しい求人情報を見分け、回避できるという。
同社は最新の透明性レポートの中で、自動防御システムを利用することにより、2022年上半期にサイバー犯罪者が登録しようとした偽アカウントの大半(1640万件)を発見できたと報告している。これとは別に、ユーザーから報告を受ける前に、社内の技術者とスタッフによって540万件のアカウントを制限したという。その結果、この半年間にLinkedInのユーザーから報告された偽アカウントは合計19万件にとどまった。
LinkedInに投稿された、人事担当者を装う偽プロフィール例
提供:ZeroFox
この手の標的型詐欺は時間も手間もかかるため、以前は成功率が低かった。しかし、Nash氏とGrobman氏がどちらも懸念しているように、「ChatGPT」のようなAIソフトウェアの台頭により、状況は変わる可能性があるという。こうした技術を使えば、サイバー犯罪者はもっともらしい偽のプロフィールや投稿、メッセージを大量に作成できるからだ。
Nash氏は、雇用市場が好転するまで、この種の詐欺は今後も増えていくと予想している。求職者の側も、「素晴らしいチャンス」だと思った求人の多くが偽物であることを受け入れる覚悟が必要だ。
「この事実を早く受け入れられる人ほど、次の仕事に向けて、すばやく気持ちを切り替えられる」(Nash氏)