「点と点がつながる瞬間」——それがMaltegoの真骨頂です。バラバラに見えた人物・ドメイン・IPアドレス・SNSアカウント・企業情報が、一枚のグラフ上でみるみる”関係の網”として浮かび上がる。世界中のサイバーセキュリティ専門家・捜査機関・脅威インテリジェンスアナリストが「これなしでは調査できない」と語る最強のリンク解析ツール、Maltego(マルテゴ)の仕組みと応用を、完全初心者でもわかるように徹底解説します。
本記事で紹介するMaltegoの調査手法・OSINT技術は、正規の権限を持つセキュリティ専門家・調査機関・ペネトレーションテスターが適法な目的で使用することを前提としています。自社・自己が管理権限を持たない対象への調査、個人のプライバシー侵害につながる利用は、不正アクセス禁止法・個人情報保護法・ストーカー規制法等に抵触する可能性があります。必ず法令・倫理規定を遵守してください。
- 🕸 Maltegoとは何者か?──「見えない関係」を見える化するツール
- 🧩 Maltegoの基本概念:エンティティとTransformを理解する
- 💼 Maltegoのエディション比較:何ができてどれを使うべきか
- 🔥 応用① OSINT調査:「公開情報」だけで組織の全貌を暴く
- 🔥 応用② 攻撃者の視点:レッドチームとペネトレーションテスト
- 🔥 応用③ 脅威インテリジェンス(TI):APT(高度標的型攻撃)グループの追跡
- 🔥 応用④ Transform Hub:Maltegoを「無限に拡張」するエコシステム
- 🔥 応用⑤ 企業デューデリジェンス・サードパーティリスク調査
- 🔥 応用⑥ ジャーナリズム・調査報道:権力の隠れたつながりを暴く
- 🔥 応用⑦ クリプト犯罪捜査:ブロックチェーン上の資金を追う
- 🛠 Maltego CE(無償版)で始める!実践入門ガイド
- 🔗 他のフォレンジックツールとの連携:最強コンビを組む
- 🛡 Maltegoから学ぶ防御側の対策:「見られていることを前提にする」
- 📚 Maltegoをもっと深く学ぶためのリソース
- 🔚 まとめ:Maltegoは「点と点をつなぐ思考法」そのものだ
🕸 Maltegoとは何者か?──「見えない関係」を見える化するツール
世の中のあらゆる情報には「つながり」があります。あるドメイン名はどのIPアドレスを指しているか。そのIPは誰が所有しているか。その人物はどんなSNSアカウントを持っているか。そのアカウントはどんな組織と関係しているか——。
人間がこれを手作業で調べると、スプレッドシートが無限に肥大化し、気づいたら「どれとどれがつながっているのか」がわからなくなります。そこで登場するのがMaltego(マルテゴ)です。
Maltegoは、南アフリカ発のセキュリティ企業Paterva社(現在はMaltego Technologies GmbH)が開発したグラフベースのリンク解析・OSINT(オープンソースインテリジェンス)プラットフォームです。2007年の初リリース以来、世界中のサイバーセキュリティ専門家・法執行機関・ジャーナリスト・企業リスク調査部門が愛用しています。
【FACTメモ】 Maltegoは世界120か国以上、1,000以上の法執行機関・政府機関・企業で使用されています(Maltego公式データ)。Interpol・Europol・各国の国家サイバーセキュリティ機関がサイバー犯罪捜査に採用。Kali Linux(セキュリティ専門家御用達のOS)にもプリインストールされており、業界標準ツールとしての地位を確立しています。
Maltegoが解決する「3つの問題」
- 問題①:情報の断片化 → バラバラなデータソースを一つのグラフに統合
- 問題②:関係性の不可視性 → エンティティ間のつながりを線と矢印で視覚的に表現
- 問題③:調査の非効率性 → 「Transform(変換)」で自動的に関連情報を収集・展開
🧩 Maltegoの基本概念:エンティティとTransformを理解する
Maltegoを使いこなすために、まず2つの核心概念を理解しましょう。
① エンティティ(Entity)=「点」
Maltegoのグラフ上に配置される情報の単位です。一つ一つの「点」がエンティティです。
| エンティティの種類 | 具体例 | 調査での用途 |
|---|---|---|
| Domain | example.com | Webサイト・攻撃インフラの調査起点 |
| IP Address | 192.168.1.1 | 攻撃元・C2サーバーの特定 |
| Person | 山田 太郎 | 容疑者・関係者のデジタル足跡調査 |
| Email Address | user@example.com | フィッシング送信元・アカウント調査 |
| Phone Number | +81-90-xxxx-xxxx | 詐欺・脅迫電話の発信元調査 |
| Website | https://example.com/login | フィッシングサイトのインフラ解明 |
| AS Number | AS15169(Google) | ホスティング事業者・国の特定 |
| Crypto Address | 1A1zP1eP5…(Bitcoin) | ランサムウェア身代金追跡 |
② Transform(変換)=「点から点へ広がる魔法」
Transformは、あるエンティティから関連情報を自動収集し、新しいエンティティを生成する処理です。これがMaltegoの最大の武器です。
例えば「example.com」というドメインエンティティに対して Transform を実行すると:
- そのドメインのIPアドレス(DNS解決)
- そのIPが所属するASN(自律システム番号)
- 同じIPを指す他のドメイン(逆引き)
- ドメインのWHOIS情報(登録者・登録日)
- サブドメイン一覧
- そのドメインで使われているSSL証明書
……これらが一クリック数十秒で自動展開されます。そしてそこから得られた新しいエンティティに対して、また Transform をかける——この繰り返しで、調査は指数関数的に深まっていきます。
Transformの実行は実際に外部サービス・DNSサーバー・WHOIS・各種APIに問い合わせを行います。調査対象のサーバーに痕跡が残る可能性があり、セキュリティ診断の許可を得ていない対象への実行は、不正アクセス禁止法に抵触する場合があります。ペネトレーションテストの場合は必ず書面による許可を取得してください。
💼 Maltegoのエディション比較:何ができてどれを使うべきか
| エディション | 料金 | Transform数 | グラフノード上限 | 推奨用途 |
|---|---|---|---|---|
| Maltego CE(Community Edition) | 無償(要登録) | 基本的なTransform | 12ノード/Transform | 学習・個人研究 |
| Maltego Pro | 年間約$999〜 | 全Transformハブ利用可 | 無制限 | セキュリティ専門家・個人 |
| Maltego Enterprise | 要見積 | 全機能+API連携 | 無制限 | 企業・SOC・法執行機関 |
| Maltego One | 要見積(新プラン) | クラウド統合型 | 無制限 | 大規模チーム調査 |
まずはCE(Community Edition)で概念を学び、業務利用や本格的な調査ではPro以上を検討するのが現実的なステップです。
🔥 応用① OSINT調査:「公開情報」だけで組織の全貌を暴く
ここからが本番です。Maltegoの応用を熱く語ります。
まず最初に声を大にして言いたいのは——Maltegoは「ハッキングツール」ではありません。Maltegoが収集するデータの9割以上は、インターネット上に誰でもアクセスできる「公開情報(Open Source Intelligence=OSINT)」です。
しかしその「公開情報を組み合わせて関係を見出す力」こそが、恐ろしいほど強力なのです。
実例:フィッシングサイトのインフラを根こそぎ特定する
あなたの会社を騙ったフィッシングメールが届いたとします。本文に記載されたURLは amaz0n-security-verify.xyz という怪しいドメインです。Maltegoでこのドメインを起点に Transform を連鎖させると、何が見えてくるでしょうか?
【ステップ1】 ドメインのIPアドレスを取得 → 45.77.xxx.yyy(某VPSサービス)
【ステップ2】 そのIPに紐づく他のドメインを取得 → 同じIPにさらに30個以上の詐欺ドメインが紐づいていることが判明
【ステップ3】 WHOIS情報を確認 → ドメイン登録者のメールアドレスが浮上
【ステップ4】 そのメールアドレスを Transform → 同じメールで登録された別の不正ドメイン群が発見される
【ステップ5】 SSL証明書の情報を照合 → 同一の証明書フィンガープリントを持つサーバーが複数特定される
たった5ステップで、単一フィッシングサイトが「攻撃インフラ全体のネットワーク」に変わりました。これが「点から網への展開」というMaltegoの真価です。このグラフを脅威インテリジェンスとしてSOC(セキュリティオペレーションセンター)に共有すれば、全関連ドメインをファイアウォールでブロックするための「ブロックリスト」が即座に完成します。
このような「ピボット(起点を変えながら調査を広げる)」手法は、Threat Intelligence(脅威インテリジェンス)の基礎技術です。MITRE ATT&CK フレームワークの「Reconnaissance(偵察)」フェーズに対応する防御調査として、世界中のSOCチームが日常的に実施しています。
🔥 応用② 攻撃者の視点:レッドチームとペネトレーションテスト
セキュリティのプロには「攻撃者の目線で自社を見る」という重要な役割があります。ペネトレーションテスター(侵入テスト専門家)は、Maltegoを使って攻撃者が事前調査(偵察)で得られる情報を徹底的にリストアップします。
外部から見える「攻撃面(Attack Surface)」の発見
「自社のドメイン名」一つを起点にMaltegoで展開すると、攻撃者が事前に収集できる情報が一目瞭然になります:
- 📡 公開サブドメイン:
vpn.company.com(VPNゲートウェイ)・mail.company.com(メールサーバー)・dev.company.com(開発環境が本番に繋がっている?) - 🔑 従業員のメールアドレス形式:LinkedInやBreachデータから
firstname.lastname@company.comという形式が判明 → スピアフィッシングのターゲットリスト作成が可能 - 🏢 使用技術スタック:HTTPヘッダー・SSL証明書・DNS SPFレコードからAWSを使っている・Office 365を使っているなどが判明
- 📂 情報漏えいの確認:Have I Been Pwned等のTransformで過去のデータ侵害で流出した社内メールアドレスを確認
- 🌍 地理情報:IP Geolocationでオフィス・データセンターの物理的な場所が浮かぶ
これらを攻撃者より先に発見できれば、対策が打てます。「VPN入り口が古いバージョン」「開発環境が外部公開されている」「退職した社員のメールが有効」——Maltegoはこうした「知らなかった危険」を可視化する鏡です。
ペネトレーションテストは必ず書面による明示的な許可(Scope of Work / 作業許可書)を取得した上で実施してください。自社のシステムに対してであっても、クラウドプロバイダー(AWS・Azure・GCP等)の利用規約に従いテスト申請が必要な場合があります。「自社だから何でも調査して良い」という誤解は非常に危険です。
🔥 応用③ 脅威インテリジェンス(TI):APT(高度標的型攻撃)グループの追跡
ここが最も「熱い」応用です。国家レベルのサイバー攻撃グループ(APT:Advanced Persistent Threat)を追跡するという、まるでサイバースパイ小説のような仕事が、Maltegoで現実のものになります。
APT追跡の実際の流れ
たとえばセキュリティ研究者が「不審なマルウェアサンプル」を一つ入手したとします。そのマルウェアが通信するC2(Command & Control)サーバーのIPアドレスが判明しました。Maltegoで展開します:
【IP → ドメイン】 そのC2サーバーIPに紐づくドメインを展開 → 複数の疑わしいドメインが発見される
【ドメイン → SSL証明書】 使用されているSSL証明書のハッシュを取得 → 同じ証明書を使う別のサーバーを発見
【SSL証明書 → ホスティング】 ホスティング事業者を特定 → 同一ASN内の隣接IPに複数の関連サーバーを発見
【WHOIS → 登録パターン】 ドメイン登録者の情報・登録日・使用したRegistrarを分析 → 同一グループが過去に使ったドメインの「登録パターン(命名規則・登録タイミング)」が浮かび上がる
【VirusTotal / Shodan Transform】 各IPをVirusTotal・ShodanのTransformで照合 → 過去の攻撃キャンペーンとのつながりが確認される
最終的にグラフには「このAPTグループが過去3年間で使ったインフラ全体のマップ」が完成します。これをMITRE ATT&CKのTechnique IDと紐付けることで、世界的なTI(脅威インテリジェンス)レポートとして公開・共有されます。
実際にこの手法でAPT29(Cozy Bear)・Lazarus Group(北朝鮮系)・APT41(中国系)などの大規模攻撃グループのインフラが暴かれてきた実績があります。
【FACTメモ】 2023年、Europol主導のサイバー犯罪捜査「Operation Endgame」では、マルウェア配布インフラの解体にMaltego等のグラフ解析ツールが活用されました。また米国CISA(サイバーセキュリティ・インフラセキュリティ庁)が発行するThreat Advisoryでも、Maltegoを使ったAPTインフラ解析の手法が参照されています。
🔥 応用④ Transform Hub:Maltegoを「無限に拡張」するエコシステム
Maltegoが単なるツールを超えた「プラットフォーム」である最大の理由がTransform Hubです。
Transform Hubは、サードパーティが開発したTransformを追加インストールできる「アプリストア」のような仕組みです。2024年現在、60以上のデータプロバイダーがTransformを提供しており、Maltegoの調査能力を爆発的に拡張できます。
| データプロバイダー | 提供する情報 | 主な用途 |
|---|---|---|
| Shodan | インターネット接続デバイスのスキャン結果 | 攻撃対象インフラの脆弱性確認 |
| VirusTotal | マルウェアハッシュ・URL・IP評価 | IOC(侵害指標)の検証 |
| Have I Been Pwned | データ侵害で流出したメール・パスワード | 自社メールの流出確認 |
| PassiveTotal(RiskIQ) | パッシブDNS・SSL証明書履歴 | APTインフラの時系列追跡 |
| Censys | 全インターネットのTLS証明書・ポートスキャン | 同一証明書使用サーバーの横展開 |
| Maltego社内独自Transform | Twitterグラフ・LinkedIn(限定) | SNSアカウント調査・人物ネットワーク |
| Blockchain.info Transform | Bitcoin・Ethereum取引グラフ | ランサムウェア身代金の追跡 |
| CrowdStrike Falcon | EDRからの脅威インテリジェンス | エンドポイントと外部インフラの紐付け |
この「データの統合力」こそがMaltegoの本質です。Shodan単体ではただのポートスキャン。VirusTotal単体ではただのファイル検査。しかしMaltegoで組み合わせると——「脆弱なポートが開いているサーバー」「そこにマルウェアが存在」「そのマルウェアが通信するC2」「そのC2と同じ証明書を使うサーバー群」が一枚のグラフに結実します。
🔥 応用⑤ 企業デューデリジェンス・サードパーティリスク調査
Maltegoの応用はサイバーセキュリティに留まりません。企業の取引先調査・M&Aデューデリジェンス・サードパーティリスク管理においても強力なツールになります。
取引先のリスクを可視化する
新規取引先として「A社」が提案されたとします。Maltegoで調査すると:
- 🏢 A社のドメインを展開 → 技術インフラがどこにホストされているか判明
- 👤 経営者・役員の名前を展開 → 過去の会社・関係する法人のネットワークが浮上
- 📧 会社のメールドメインを展開 → データ侵害履歴の確認(Have I Been Pwned等)
- 🔗 関連会社・子会社の調査 → リスクの高い国・企業との接点が可視化
- 🌐 SNSプレゼンスの確認 → 公式を騙った偽サイト・なりすましアカウントの存在確認
これは従来、コンサルタントが数週間かけて行っていた調査を、Maltegoなら数時間に圧縮できることを意味します。金融機関・保険会社・M&Aアドバイザリー会社がMaltegoを導入し始めているのはこのためです。
🔥 応用⑥ ジャーナリズム・調査報道:権力の隠れたつながりを暴く
Maltegoは調査報道ジャーナリストの間でも急速に普及しています。パナマ文書・パンドラ文書の解析でも使われたような「複雑な法人ネットワークを可視化する」技術に、Maltegoは非常に適しています。
調査報道での活用例
- 法人ネットワーク調査:タックスヘイブンに設立されたペーパーカンパニーの連鎖を可視化
- 資産追跡:公開された不動産登記・企業登記データから人物の財産ネットワークを構築
- 偽情報キャンペーン調査:フェイクニュースを拡散するTwitterボットネットワークの特定
- 政治献金の追跡:複数の政治団体・企業・個人の資金の流れのマッピング
国際調査報道ジャーナリスト連合(ICIJ)も、複雑なデータ構造を扱うためのツールとしてグラフ解析を推奨しています。Maltegoはその中でも、公開データとAPIを統合できる強みから高く評価されています。
🔥 応用⑦ クリプト犯罪捜査:ブロックチェーン上の資金を追う
ランサムウェア攻撃者が要求する身代金の多くはビットコインやモネロで支払われます。「暗号通貨は匿名だから追跡不可能」は神話です。MaltegoとBlockchain解析ツール(Chainalysis・Crystal Blockchainなど)を組み合わせることで、ビットコインの資金フローを可視化できます。
ランサムウェア身代金追跡の流れ
被害企業が支払ったビットコインアドレスを起点にMaltegoで展開します:
- 💰 受取アドレスからの送金先 → 複数のアドレスに分散(ミキシング)されていく
- 🔄 ミキシング後の送金先 → 取引所(Exchange)への入金アドレスが特定される
- 🏦 取引所への入金 → KYC(本人確認)情報が存在する場合、捜査機関は令状で取引所に開示請求
- 👤 最終的な出口(引き出し先) → 現実世界の銀行口座・個人へのリンクが確立
この手法でFBIは2021年のColonial Pipelineランサムウェア攻撃の身代金約230万ドル相当のビットコインを回収しています。Maltegoはそのような捜査の「視覚化と整理」において核心的な役割を担います。
【FACTメモ】 2021年6月、米国司法省はColonial Pipeline社が支払った身代金75 Bitcoin(当時約430万ドル)のうち63.7 Bitcoinの回収に成功したと発表。FBIがビットコインウォレットの秘密鍵を取得できた理由は、攻撃者がVPN経由ではない米国内IPからウォレットにアクセスしたためと報告されています。ブロックチェーン解析+ネットワーク調査の組み合わせが功を奏した事例です。
🛠 Maltego CE(無償版)で始める!実践入門ガイド
インストールと初期設定
Step 1:公式サイトからダウンロードmaltego.com にアクセス → 「Download Maltego CE」を選択 → Windows・Mac・Linux版が提供されています。
Step 2:アカウント登録
CE版は無償ですが、メールアドレスでのアカウント登録が必要です。登録後、ライセンスキーがメールで届きます。
Step 3:Transform Hubで基本Transformを有効化
「Transform Hub」からまず以下の無償Transformを有効化することをお勧めします:
- Maltego Standard Transforms(基本DNS・WHOIS・IP逆引き)
- VirusTotal(無償APIキーで利用可)
- Shodan(無償APIキーで利用可)
- Have I Been Pwned(無償)
最初の調査:自社ドメインを調べてみよう
Step 1:新規グラフを作成(「New Graph」)
Step 2:左パネルから「Domain」エンティティをグラフにドラッグ&ドロップ
Step 3:エンティティをダブルクリックして自社ドメイン名を入力
Step 4:エンティティを右クリック → 「Run Transforms」→「All Transforms」
Step 5:展開されたグラフを眺める——IPアドレス・サブドメイン・MXレコード・NSレコードが一気に可視化されます
CE版はTransformごとのノード生成数が12件に制限されています。実際の調査では重要な情報が切り捨てられる場合があります。本格的な業務利用にはPro版以上を検討してください。また、APIキーが必要なTransformは各サービスで個別登録が必要です。
🔗 他のフォレンジックツールとの連携:最強コンビを組む
前回の記事で紹介したフォレンジックツールと組み合わせることで、調査能力はさらに跳ね上がります。
| 連携ツール | Maltegoとの連携ポイント | 得られる相乗効果 |
|---|---|---|
| Wireshark | C2サーバーIPをMaltegoに投入 | C2インフラ全体のネットワーク解明 |
| Volatility | メモリから抽出したIPをMaltegoで展開 | マルウェアが通信するインフラの全体像 |
| Autopsy | ブラウザ履歴のURLドメインをMaltegoへ | 感染経路のWebインフラ調査 |
| MISP(脅威インテリジェンス共有) | IOCをMISPから取得・グラフ化 | コミュニティTIとの照合・可視化 |
| Splunk / SIEM | SIEMのアラートIPをMaltegoで調査 | アラートの深堀り・誤検知判定の加速 |
🛡 Maltegoから学ぶ防御側の対策:「見られていることを前提にする」
Maltegoで攻撃者の視点を体験すると、防御側が取るべき対策が具体的に見えてきます。
すぐ実践できる5つの対策
- ✅ WHOIS情報のプライバシー保護:ドメイン登録時に「WHOIS Privacy」サービスを利用し、個人・担当者情報を非公開に
- ✅ サブドメインの棚卸し:Maltegoやサブドメインスキャナ(Amass等)で自社の外部公開サブドメインを全件確認し、不要なものを削除
- ✅ SPF・DKIM・DMARCの設定:DNSメール認証を正しく設定することで、なりすましメールの送信を防止
- ✅ データ侵害モニタリング:Have I Been Pwned等で自社ドメインのメール流出を定期監視
- ✅ Attack Surface Management(ASM)ツールの導入:Shodan・Censys等を活用し、外部から見える自社インフラを常時監視
これらの対策は、NIST SP 800-171・ISO/IEC 27001・CIS Controls v8などの国際セキュリティフレームワークに対応しています。特にAttack Surface Management(ASM)は2024年のGartner Hype Cycleで「主流段階」と評価されており、中堅企業でも導入が急加速しています。
📚 Maltegoをもっと深く学ぶためのリソース
- Maltego公式ドキュメント(docs.maltego.com):Transform・エンティティの詳細仕様
- Maltego YouTube公式チャンネル:ハンズオン動画・ウェビナーが充実
- SANS FOR578(Cyber Threat Intelligence):Maltegoを使ったTI調査の業界標準コース
- OSINT Framework(osintframework.com):Maltegoと組み合わせるOSINTツール・データソースの全体マップ
- TraceLabs(tracelabs.org):行方不明者調査のOSINT CTF。Maltegoの実践スキルを磨ける
- Bellingcat Online Investigation Toolkit:調査報道・OSINT技術の総合ガイド(Maltego活用事例多数)
🔚 まとめ:Maltegoは「点と点をつなぐ思考法」そのものだ
Maltegoは単なる便利なツールではありません。「世界中のあらゆるデジタル情報はつながっている」というインテリジェンスの哲学を具現化したプラットフォームです。
フィッシングサイトの一つのドメインから、攻撃グループのインフラ全体へ。一人の人物から、背後の組織のネットワークへ。一つのビットコインアドレスから、資金洗浄の全ルートへ。
このツールを使いこなすとき、あなたは「データを見る人」から「データのつながりを読む人」へと変わります。そしてその視点こそが、現代のサイバーセキュリティ・インテリジェンスの最前線で求められている能力です。
まずはMaltego CE(無償版)をインストールし、自社のドメインを一つ入力してみてください。「こんなに情報が外から見えているのか」という発見が、きっとあなたのセキュリティ意識を一段階引き上げてくれるはずです。
Maltegoを含むOSINT・フォレンジックツールの使用は、常に法令・倫理・プライバシーを最優先してください。「技術的に可能であること」と「法的・倫理的に許可されていること」は別物です。セキュリティのプロフェッショナルとして、責任ある使用を心がけてください。
※本記事の情報は執筆時点(2024〜2025年)のものです。Maltegoのバージョン・価格・Transform提供状況は変更される場合があります。最新情報はMaltego公式サイト(maltego.com)でご確認ください。本記事はセキュリティ教育目的で作成されています。
コメント