OSINTプロフェッショナルが実際に使う調査技術を徹底解説。インフラ調査、人物特定、SNS分析、ダークウェブ情報収集まで、公開情報から高度なインテリジェンスを得る方法を具体例とツールとともに紹介します。
🔍 OSINTプロフェッショナルの技術
インフラ調査・人物特定・ダークウェブ分析まで――公開情報の最深部へ
対象レベル:上級者 | シリーズ:やさしいサイバーセキュリティ | 前回記事の続編
📋 目次
- はじめに:初心者編からの進化と上級OSINTの心構え
- 高度なGoogle Dorking――検索演算子の「組み合わせ爆発」
- Shodan / Censys / ZoomEye――インターネット接続機器の探索
- SOCMINT上級――ソーシャルメディアの深層分析技術
- 画像・動画OSINT(IMINT)――EXIFデータと地理的特定
- ドメイン・DNS・ASN調査の深掘り技法
- 企業インテリジェンス(CORPINT)――組織構造と内部情報の抽出
- Maltego・リンク分析ツールの活用
- ダークウェブOSINT――安全な調査手法と限界
- OSINT自動化――Python・APIによる大規模収集
- Counter-OSINT――自分の情報足跡を消す技術
- OPSEC(作戦セキュリティ)の実践
- 実際の調査フロー(ケーススタディ)
- 法的・倫理的フレームワークと最新動向
1はじめに:初心者編からの進化と上級OSINTの心構え
前回の記事「【初心者向け完全ガイド】OSINTとは何か?」では、公開情報収集の基本概念・主要ツール・基礎的な調査手順を解説しました。本稿はその完全な続編として、実際の調査現場で使われる上級技術を体系的に紹介します。
上級OSINTが「初心者OSINTと根本的に異なる」のは、情報の量ではなく質と接続性にあります。単一ソースから得られる情報は断片的です。しかし複数のソースを横断して「ピボット(情報の接続・展開)」を繰り返すことで、表層には現れない真実の構造が浮かび上がります。
上級OSINT調査者に求められる3つの能力
- 「ピボット思考」:ある情報から次の情報への展開を連続的に設計できること
- 「ノイズフィルタリング」:大量の偽情報・古情報・無関係情報の中から本質を抽出できること
- 「法的リテラシー」:どこまでが合法的な公開情報収集で、どこからが不法侵害になるかを正確に理解していること
本記事で紹介する技術はすべて公開情報(Open Source)の収集・分析に限定したものです。対象者のアカウントへの不正アクセス、スクレイピング規約違反、個人情報保護法に抵触する行為は含まれません。必ず各ツール・サービスの利用規約と適用法律を確認してから実践してください。
この記事で紹介するOSINTレイヤー(対象となるデータ種別)
| レイヤー | 内容 | 主なツール・手法 |
|---|---|---|
| 表層Web(サーフェスウェブ) | 検索エンジンにインデックスされた情報 | Google Dorking・各種検索エンジン |
| ディープWeb | 検索エンジン未収録だが公開されている情報 | 論文DB・政府DB・企業内部ページ |
| HUMINT境界 | SNSから読み取れる人間関係・行動パターン | LinkedIn・X・Facebook |
| インフラ層 | IP・ドメイン・証明書・技術情報 | Shodan・Censys・crt.sh |
| ダークウェブ | Torネットワーク上の公開フォーラム等 | Tor Browser・モニタリングサービス |
2高度なGoogle Dorking――検索演算子の「組み合わせ爆発」
Google Dorkingとは、Googleの高度な検索演算子を駆使して通常では見つからない情報を発見する技術です。2002年にJohnny Longが体系化し、Google Hacking Database(GHDB)として現在も更新され続けています(exploit-db.comで公開)。
基礎演算子一覧 FACT
| 演算子 | 用途 | 使用例 |
|---|---|---|
site: | 特定ドメイン内のみ検索 | site:example.co.jp |
inurl: | URLにキーワードを含むページ | inurl:admin |
intitle: | タイトルにキーワードを含むページ | intitle:”login” |
intext: | 本文中にキーワードを含むページ | intext:”password” |
filetype: | 特定拡張子のファイル検索 | filetype:xlsx OR filetype:pdf |
cache: | Googleキャッシュ版を表示 | cache:target.com |
related: | 類似サイトを発見 | related:target.com |
"フレーズ" | 完全一致フレーズ検索 | “DB_PASSWORD” |
-キーワード | 特定語を除外 | -site:wikipedia.org |
数値..数値 | 数値範囲指定 | 2020..2024 |
GHDBには2024年時点で8,000件以上のDorkが登録されています。調査対象ドメインに対してGHDBのカテゴリを体系的に試すことで、管理者が意図せず公開してしまったファイルや設定情報を発見できます。
上級テクニック①:複合演算子による機密文書の発見
以下はGHDBに実際に登録されているDorkの応用例です(教育目的のため一部変更)。
# 設定ファイルの発見例
filetype:env "DB_PASSWORD" site:github.com
# 管理画面の発見例
intitle:"admin panel" inurl:"/admin/login" site:example.com
# 公開Excelファイル(個人情報が含まれる可能性)
site:gov.jp filetype:xlsx "氏名" "住所"
# バックアップファイルの発見
site:target.com filetype:bak OR filetype:sql OR filetype:old上級テクニック②:Wayback Machineとの連携
Internet Archive(archive.org)のWayback Machineは、過去のWebページのスナップショットを保存しています。削除されたページ・変更前のページを確認できます。
- 企業サイトの過去の「採用ページ」から当時の組織構造・使用技術スタックを特定
- 削除されたプレスリリース・インシデント通知の発掘
- ドメイン譲渡前のコンテンツ確認(旧所有者の情報が残っている場合がある)
# Wayback Machine API — 特定URLの最新スナップショットを確認
archive.org上級テクニック③:検索エンジンの多角利用
| エンジン | 強み | 用途 |
|---|---|---|
| Bing | Microsoft系・企業情報 | 企業・ドキュメント検索 |
| DuckDuckGo | プライバシー重視。!演算子で他エンジンへ転送可 | 痕跡を残さない調査 |
| Yandex | 旧ソ連圏・東欧。顔認証精度が高い | 画像検索・人物特定 |
| Baidu | 中国語コンテンツ | 中国関連調査 |
| Startpage | Google結果をプロキシ経由で取得 | 痕跡なしでGoogle検索 |
3Shodan / Censys / ZoomEye――インターネット接続機器の探索
Shodanは「インターネットに接続されたあらゆるデバイスを検索できる検索エンジン」です。2009年にJohn Matherly氏が開発し、現在も最重要のOSINTインフラのひとつです。セキュリティコミュニティでは「ハッカーのためのGoogle」とも呼ばれています。
Shodanは常時インターネット全域をスキャンし、IPアドレス・地理情報・開放ポート・バナー情報・SSL/TLS証明書・産業制御システム(ICS/SCADA)プロトコル・IoTデバイス情報などを収集しています。2024年現在、データベースには約8億台以上のデバイス情報が蓄積されています。
主要な検索フィルター一覧
# 特定組織のIPを検索
org:"Company Name"
# ホスト名での絞り込み
hostname:target.com
# 特定ポートで絞り込み(SSH)
port:22 org:"Target Corp"
# 特定CVEの脆弱性を持つ機器(Pro機能)
vuln:CVE-2021-44228
# 証明書のCNまたはSANに対象ドメインを含む機器
ssl:"target.com"
# ASN番号で絞り込み(組織の全IPを調査)
asn:AS12345
# 日付範囲指定
after:2023-01-01 before:2024-01-01 hostname:target.com上級活用例①:証明書からサブドメインを列挙
ssl.cert.subject.cn:"*.target.com" と検索することで、ワイルドカード証明書を使用しているすべてのサブドメインを洗い出すことができます。通常のDNS列挙では発見できないステージング環境・開発環境・管理画面の発見に有効です。
上級活用例②:組織のASNから全IPレンジを調査
- BGPViewやWHOISでASN番号を取得(例:AS12345)
- Shodanで「asn:AS12345」と検索
- その組織が管理するすべてのIPアドレスと公開サービスを一覧化
- 「シャドーIT(管理外サーバー)」を発見できることがある
Shodan・Censys・ZoomEyeの使い分け
| ツール | 強み | 弱み | 費用 |
|---|---|---|---|
| Shodan | IoT/OT機器の収集量が多い。API充実。歴史データ豊富 | 証明書の網羅性はやや劣る | 無料プランあり |
| Censys | 証明書データの網羅性が高い。研究用途向け | IoT機器は少なめ | 研究用は無料 |
| ZoomEye | 中国・アジア圏のIPに強い | 英語ドキュメントが少ない | 無料プランあり |
プロのOSINTアナリストは3つすべてを使い、結果をクロスリファレンスします。1つのツールだけでは見えないデバイスが、別のツールで発見されることが頻繁にあります。
4SOCMINT上級――ソーシャルメディアの深層分析技術
SOCMINT(Social Media Intelligence)は、SNS上の公開情報から人物・組織・出来事に関する情報を収集・分析する技術です。Bellingcatを筆頭とする調査報道機関が、ロシアのウクライナ侵攻やMH17撃墜事件の調査でSOCMINTを活用したことで、その重要性が広く認知されました。
X(旧Twitter)の高度な検索演算子
# 特定ユーザーの投稿・特定ユーザーへの返信
from:username to:username
# 日付範囲指定(YYYY-MM-DD形式)
since:2024-01-01 until:2024-06-30
# 特定地域からの投稿(東京都心5km圏内の例)
geocode:35.689487,139.691706,5km filter:images
# 言語・メディア・エンゲージメント絞り込み
lang:ja filter:videos -filter:retweets min_faves:100LinkedIn OSINT――企業・人物調査の最強ソース
LinkedInは企業情報調査において非常に価値の高いOSINTソースです。
- 「現在の従業員」から技術スタックの推定:「AWS」「Kubernetes」「Splunk」など特定技術を持つ従業員が多数いれば、その企業がその技術を使用していると推測できます
- 「過去の従業員」からの情報収集:退職者のプロフィールには在籍時のプロジェクト・使用技術が記載されていることが多く、現役社員より詳細な内部情報が含まれていることがあります
- 「採用情報」からの技術スタック推定:「Splunk管理者」「CrowdStrike環境での経験」等の記載はセキュリティ体制の推測に直結します
Bellingcatが実証した地理的特定(Geolocation)手法:
Bellingcatは2014年のMH17撃墜事件調査でBUK地対空ミサイルシステムの移動経路をSNS投稿から完全に特定しました。複数のSNS動画・画像を時系列に整理し、背景に映り込む建物・標識・山の稜線・影の角度などを特定。Google StreetViewやGoogle Earthと照合して撮影地点を特定する「ランドマークの三角測量」が手法の核心です。現在この技術は戦争犯罪調査・行方不明者捜索等に広く活用されています。
メールアドレスを起点としたピボット展開
5画像・動画OSINT(IMINT)――EXIFデータと地理的特定
画像・動画から得られる情報量は、初心者が思うよりはるかに多くあります。
EXIFメタデータの抽出
デジタル画像にはEXIF(Exchangeable Image File Format)メタデータが埋め込まれています。含まれる情報:撮影日時(秒単位)・GPS座標(緯度・経度・高度)・カメラ機種・レンズ情報・ISO・シャッタースピード・絞り値・ソフトウェア名とバージョン。
# ExifTool(Linuxコマンドライン)― 全メタデータを表示
exiftool image.jpg
# GPS座標のみ抽出
exiftool -GPSLatitude -GPSLongitude -GPSAltitude image.jpg
# 動画ファイルのメタデータ
exiftool video.mp4
# Python(Pillow)での抽出
from PIL import Image
img = Image.open("image.jpg")
print(img._getexif())SNSプラットフォームのEXIF削除状況 FACT 2024年現在
| プラットフォーム | GPS情報 | その他メタデータ | 注意事項 |
|---|---|---|---|
| Twitter / X | ✅ 削除 | ⚠️ 部分的に残存 | 画像圧縮あり |
| ✅ 削除 | ⚠️ 部分的に残存 | 画像圧縮あり | |
| ✅ 削除 | ⚠️ 部分的に残存 | — | |
| ✅ 削除 | ✅ 削除 | 圧縮時に削除 | |
| Signal | ✅ 削除 | ✅ 削除 | プライバシー重視設計 |
| Discord(直リンク) | 🚨 残存の可能性 | 🚨 残存の可能性 | 2024年現在も要注意 |
| メール添付 | 🚨 ほぼそのまま残存 | 🚨 ほぼそのまま残存 | 最も危険 |
メールで受け取った画像・Discordの直リンク画像はEXIFが残っており、撮影場所・日時を特定できる可能性があります。画像を送信する前に必ずExifToolやオンラインツールでメタデータを削除しましょう。
画像の地理的特定(Geolocation)実践手順
- 背景の特徴を列挙(建物の様式・看板の言語・道路標識・植生・山の形状)
- 太陽の位置・影の角度から方角・時刻を推定(SunCalcツールが有効)
- Google Earthの「歴史的イメージ」機能で時系列変化を確認
- Google StreetViewでの地上視点確認と照合
- PeakFinderアプリで山の稜線パターンと照合(山岳地帯)
逆画像検索の多角利用
- TinEye(tineye.com):画像の初出・改変履歴の追跡に特化。ファクトチェックに有用
- Yandex画像検索:顔認識精度が高く、人物特定に有効(プライバシー侵害リスクに注意)
- PimEyes(pimeyes.com):顔検索専用。有料だが精度が高い(倫理的使用に限定のこと)
- Karma Decay:Reddit上の同一画像投稿を検索(Reddit特化)
6ドメイン・DNS・ASN調査の深掘り技法
インフラOSINTの核心は、IPアドレス・ドメイン・SSL証明書の3つを軸にしたピボットです。
パッシブDNS(PDNS)調査
パッシブDNSとは、世界各地のリゾルバが過去に処理したDNSクエリの記録データベースです。特定のIPアドレスに「過去に何というドメインが紐づいていたか」を調査できます。
| サービス | 特徴 | 費用 |
|---|---|---|
| VirusTotal(Relationsタブ) | IP/ドメインの関連情報を総合的に表示 | 無料 |
| SecurityTrails | DNS履歴・WHOIS履歴が充実 | 無料プランあり |
| RiskIQ PassiveTotal | Microsoft Defender TI。脅威インテリジェンスとの統合 | 一部無料 |
| DNSDB(Farsight Security) | 最大規模のPDNSデータベース | 有料 |
ある攻撃インフラのIPアドレスが判明した場合、PDNSで過去に紐づいていたドメインを列挙し、同一攻撃グループが使用していた他のインフラを特定できます。これは脅威インテリジェンス(Threat Intelligence)調査の基本手法です。
SSL証明書透明性ログ(CT Log)を使ったサブドメイン発見
CT(Certificate Transparency)は2013年にGoogleが提唱し、現在すべての商用CA(認証局)に対して義務化されています。2024年現在10億件以上の証明書が記録されており、企業が秘密裏に取得したサブドメインの証明書も含めてすべて追跡可能です。
# crt.shでサブドメインを全件取得(ブラウザでも可)
crt.sh
# curlでJSON取得してサブドメインを抽出
curl -s "https://crt.sh/?q=%.target.com&output=json" | \
python3 -c "import json,sys; \
data=json.load(sys.stdin); \
[print(e['name_value']) for e in data]" | sort -uBGP・ASN情報からのインフラ調査
nslookup/digで対象ドメインのIPアドレスを取得- BGPView(bgpview.io)でIPアドレスからASN番号を特定
- ASN番号から同一組織のIPレンジをすべて列挙
- ShodanでそのIPレンジ全体のスキャン結果と照合
7企業インテリジェンス(CORPINT)――組織構造と内部情報の抽出
法人情報データベース(日本)
| データベース | 取得できる情報 | 費用 |
|---|---|---|
| 法人番号公表サイト | 法人番号・所在地・設立年月日 | 無料 |
| EDINET(金融庁) | 有価証券報告書・大量保有報告書 | 無料 |
| J-PlatPat(特許庁) | 特許・商標・実用新案 | 無料 |
| 裁判所・判例DB | 訴訟歴・仮処分・破産情報 | 無料 |
日本の上場企業が金融庁に提出する有価証券報告書には法的義務として以下が記載されています:事業内容・セグメント情報、主要な設備(データセンター等)、関係会社の一覧(子会社・持分法適用会社)、主要取引先、役員の略歴、主要株主。さらに2023年以降、情報セキュリティリスクの開示が強化され、各社のセキュリティ投資・リスク認識がより詳細に記載されるようになりました。
GitHubからのコード調査
ソースコードリポジトリは最も情報量の多いCORPINTソースのひとつです。開発者が誤ってコミットした機密情報が頻繁に発見されます。
# GitHubでの企業名 + 機密情報の検索例(教育目的)
site:github.com "target_company" password
site:github.com "target_company" api_key
site:github.com "target_company" "BEGIN RSA PRIVATE KEY"
site:github.com "target_company" "jdbc:mysql://"GitleaksやTruffleHog(いずれもオープンソース)を使って特定リポジトリ全体をAPIキー・パスワード・証明書がないかスキャンすることも自社のセキュリティチェックとして有効です。
求人情報からの技術スタック特定
求人票は企業の「現状の技術課題」を直接反映しています。
- 「SIEMツール(Splunk)の管理経験必須」→ SplunkによるSOC運用を実施中
- 「CloudTrail・GuardDutyの知識」→ AWSのセキュリティサービスを採用
- 「CrowdStrike Falcon管理」→ EDRにCrowdStrikeを導入済み
- 「ゼロトラスト環境での経験」→ ゼロトラスト移行プロジェクトが進行中
8Maltego・リンク分析ツールの活用
MaltegoはPaterva社(現Maltego Technologies)が開発したOSINT・リンク分析のデファクトスタンダードツールです。グラフィカルなインターフェースで、複数の情報源から収集したデータをノードとエッジのグラフとして可視化します。
Maltegoの基本概念
- エンティティ(Entity):調査の基本単位。ドメイン・IP・メールアドレス・人物名・電話番号・SNSアカウント等
- トランスフォーム(Transform):あるエンティティから別のエンティティを自動的に発見・展開するアクション
- グラフ:エンティティをノード、関係をエッジとして表現するビジュアルマップ
主要なデータプロバイダー(Hub連携)
| プロバイダー | 提供データ | 費用 |
|---|---|---|
| VirusTotal | マルウェア・悪意あるドメインデータ | 無料枠あり |
| Shodan | インフラ情報 | API有料 |
| HaveIBeenPwned | パスワード流出情報 | 一部無料 |
| WhoisXML | WHOIS・DNS情報 | 有料 |
| Recorded Future | 脅威インテリジェンス | 有料(高額) |
無料で使えるMaltego代替ツール
- SpiderFoot(spiderfoot.net)無料:オープンソース。200以上のデータソースに対応。コマンドライン・WebUIあり
- theHarvester無料:メールアドレス・サブドメイン・従業員情報の収集に特化
- Recon-ng無料:モジュール式のリコンフレームワーク。Metasploitに似た操作感
- OSINT Framework(osintframework.com)無料:ツール・リソースの体系的なカタログサイト
9ダークウェブOSINT――安全な調査手法と限界
ダークウェブはTorネットワーク(.onionドメイン)上に存在する、通常のブラウザでアクセスできないWebスペースです。脅威インテリジェンス情報源としての価値は非常に高く、セキュリティ企業が常時モニタリングしています。
ダークウェブで収集できる主要な情報:ランサムウェアグループの被害者リスト(「リークサイト」)・盗まれた認証情報の流通・APT(高度な持続的脅威)グループのフォーラム活動・悪意ある攻撃ツールのコード・特定組織に対する攻撃計画の事前情報。セキュリティ企業(Mandiant・Recorded Future・Intel 471等)はこれらの専門モニタリングをサービスとして提供しています。
安全な調査のための5原則
物理的に分離したPCまたは仮想マシン(Tails OSが推奨)。普段使いのアカウント・ブラウザとは完全に分離すること
VPN経由でTorを使う(「Tor over VPN」)。JavaScriptは原則無効化
メールアドレス・住所・クレジットカードはもちろん、ユーザー名も新規作成のものを使用
ダウンロードしたファイルを開くと実IPが特定されるリスクがある
調査目的であっても違法物の購入・取引は犯罪。絶対に行わないこと
Tor不要で使えるダークウェブモニタリングサービス
| サービス | 用途 | 費用 |
|---|---|---|
| HaveIBeenPwned.com | メールアドレスのデータ侵害確認 | 無料 |
| DeHashed.com | 複数の侵害DBを横断検索 | 有料 |
| IntelligenceX(intelx.io) | ダークウェブ・流出DB検索 | 有料 |
| Ahmia.fi | .onionサイトの検索(安全サイトのみ) | 無料 |
| Flare | ダークウェブ・TelegramのRT監視(企業向け) | 有料 |
| SpyCloud | 企業向け認証情報漏えいモニタリング | 有料 |
10OSINT自動化――Python・APIによる大規模収集
手動での情報収集には限界があります。上級OSINT調査者はPythonスクリプトとAPIを活用して、大規模・高速・再現可能な情報収集を実現します。
主要OSINTツールのPythonライブラリ
# 主要ライブラリのインストール
pip install shodan # Shodan公式
pip install vt-py # VirusTotal
pip install censys # Censys
pip install tweepy # X(Twitter)API v2
pip install dnspython # DNS操作
pip install requests # HTTP通信
pip install beautifulsoup4 # HTMLパースShodan APIを使った自動調査
import shodan
api = shodan.Shodan("YOUR_API_KEY")
results = api.search('org:"Target Corporation" port:22')
for match in results['matches']:
print(f"IP: {match['ip_str']}, Banner: {match.get('data','')[:100]}")crt.shを使ったサブドメイン自動取得
import requests, json
domain = "target.com"
url = f"https://crt.sh/?q=%.{domain}&output=json"
response = requests.get(url, timeout=30)
data = json.loads(response.text)
subdomains = set([entry['name_value'].strip() for entry in data])
for sub in sorted(subdomains):
print(sub)SpiderFootによる自動化
# インストール・起動
pip3 install spiderfoot
python3 sfp.py -l 127.0.0.1:5001
# → ブラウザで http://127.0.0.1:5001 を開いて調査開始
# 200以上のモジュールが自動動作し、レポートを生成自動化ツールは収集規模を大幅に拡大します。その分、意図しない法的リスクも拡大します。各サービスのRate Limitを遵守し、収集した個人情報は個人情報保護法の適用を受けることを常に意識してください。「公開情報だから合法」という論理は日本の裁判所では通用しない場合があります。
11Counter-OSINT――自分の情報足跡を消す技術
攻撃者はOSINT技術を使ってターゲットを調査します。自分がどれだけの情報を公開しているかを理解し、不要な情報を削除することが防御の第一歩です。
自分のデジタルフットプリントを確認する(セルフOSINT)
- Google検索(名前・メールアドレス・電話番号・ハンドルネームで検索)
- HaveIBeenPwned.comで自分のメールアドレスを検索
- TinEye・Googleで自分の画像を逆画像検索
- ソーシャルメディアのプライバシー設定を全確認
- ドメイン保有者はWHOIS情報を確認(プライバシープロテクション有効化)
日本における主要な個人情報集積サイト:
Pipl(pipl.com)・Spokeo(spokeo.com)・ZoomInfo・Wantedly・LinkedIn など多数のサービスが個人情報を収集・公開しています。これらの多くは「オプトアウト(情報削除申請)」の仕組みを持っています。まず自分が何に載っているかを確認し、必要に応じて削除申請を行いましょう。
メールアドレスの露出対策
- 公開サービス登録には使い捨てアドレス(SimpleLogin・AnonAddy)を使用
- メインアドレスをWebサイト・フォーラムに公開しない
- ドメイン登録時はプライバシープロテクション(WHOIS保護)を必ず有効化
- GitHubのコミットメールを非公開設定にする(settings.github.com/emails)
ドメイン・インフラの露出対策
- CloudflareのIPマスキング機能を活用(実サーバーIPをCDN経由で隠蔽)
- サブドメインを不必要に増やさない(CT検索で全件発見される)
- 開発・テスト環境はインターネット非公開にする
robots.txtに機密ディレクトリを記載しない(逆に手がかりになる)- エラーページでフレームワーク・バージョン情報を表示しない
12OPSEC(作戦セキュリティ)の実践
OPSEC(Operational Security:作戦セキュリティ)は元来軍事用語であり、敵に有益な情報を与えないための体系的なアプローチです。OSINTアナリストはOPSECを守ることで、自分の調査活動が対象に検知されないようにします。
OPSEC違反の典型例
- 対象のLinkedInプロフィールをログイン状態で閲覧(「プロフィールを見た人」に自分の名前が表示される)
- 対象ドメインに対して直接アクセス(サーバーログに自分のIPが記録される)
- 対象に関連するキーワードをGoogle検索(Googleから対象に広告ターゲティングされる可能性)
- 調査用アカウントでフォロー・いいね等のアクションを実施(対象に通知が届く)
OPSEC実践のための技術的対策
調査専用のVMを作成し、メインOSとは完全に分離する。Kali LinuxやREMnuxが調査VMとして最適。
VPNで実IPを隠したうえでTorを使用(Tor over VPN)。Torの出口ノードは信頼できないため、HTTPS以外の通信はTorの外に出さない。
SNS調査にはSockpuppetと呼ばれる匿名アカウントを使用。ただし虚偽プロフィールでの活動が利用規約違反となる場合が多い。法的・倫理的リスクを十分に理解すること。
Google検索時はシークレットモードまたは非ログイン状態で実施。ログイン状態での検索は検索履歴に残り、ターゲット情報が蓄積される。
対象サイトへの直接アクセスを避け、キャッシュ経由でアクセスする。これにより対象サーバーに自分のIPが記録されることを防げる。
OPSEC 5ステップモデル 米NSA由来
| ステップ | 内容 | 問い |
|---|---|---|
| 1. 重要情報の特定 | Critical Information Identification | 何を守るべきか |
| 2. 脅威の分析 | Threat Analysis | 誰が・何を目的に収集しているか |
| 3. 脆弱性の分析 | Vulnerability Analysis | どこから情報が漏れているか |
| 4. リスク評価 | Risk Assessment | 脅威×脆弱性の組み合わせ |
| 5. 対策の適用 | Application of Countermeasures | 優先順位を付けて対策を実施 |
13実際の調査フロー(ケーススタディ)
ここでは「架空の企業Target Corp.に対するOSINT調査(セキュリティ評価目的、仮想シナリオ)」として、実際の調査フローを示します。
調査対象:target-corp.co.jp 目的:外部公開情報から把握できるセキュリティリスクの特定 制限:対象システムへの直接アクセス・スキャンは行わない
初期調査:WHOIS/RDAP・Google検索(filetype指定)・crt.sh・Shodan・EDINET・LinkedIn
DNSレコードの完全取得(A, AAAA, MX, TXT, NS, CNAME, SOA)→ ASN・ISPの特定 → サブドメインのIPマッピング → MXレコードからメールサービスを特定 → SPF・DKIMからメールセキュリティ設定を評価
Shodanで公開ポート・サービス・バージョン確認 → SSL証明書の有効期限・暗号スイート確認 → GitHub検索でシークレット情報の誤コミット確認 → HaveIBeenPwnedで従業員メールアドレスの流出確認 → Wayback Machineで削除済みページに機密情報がないか確認
LinkedInで組織図を推測(ITチーム・セキュリティチームの規模)→ 採用情報から使用セキュリティ製品を特定 → Xで従業員の技術的発言を収集 → 技術ブログ・SlideShare・SpeakerDeckで発表資料を検索
露出している技術インフラ(攻撃面)・特定できた機密情報・設定ミス・人的なOSINTリスク(過剰開示)・Counter-OSINTとして実施すべき対策 の各カテゴリで整理
14法的・倫理的フレームワークと最新動向
OSINT活動に関連する日本の主要法規制 FACT
| 法律 | 施行・改正 | OSINT活動への影響 |
|---|---|---|
| 不正アクセス禁止法 | 1999年施行 | 認証突破・想定外のアクセス方法は違法。公開情報の閲覧は一般に合法 |
| 個人情報保護法 | 2003年施行 / 2022年大改正 | 公開情報でも収集・DB化・第三者提供は適用対象。2022年改正で不正取得目的の収集も規制 |
| ストーカー規制法 | 2000年施行 | 個人の位置情報・行動パターンの継続的な収集・監視は適用対象となる可能性 |
| 電気通信事業法 | — | 通信の秘密の侵害(傍受・盗聴等)は禁止 |
OSINT倫理の4原則
必要性の原則
調査目的に必要な情報のみを収集する
比例性の原則
収集する情報の量・深度は調査目的と比例すべきである
最小被害の原則
対象者・第三者への不必要な損害を与えない
アカウンタビリティの原則
調査方法・結果について説明責任を持つ
2024年以降の主要トレンド
- AI × OSINT:ChatGPT・Claude等のLLMを使った収集情報の自動要約・分析が普及。PerplexityAIやElicit等がOSINTツールとして活用されています
- ディープフェイク検出のOSINT応用:生成AIで作られた偽画像・動画の真偽判定がOSINT調査員の重要スキルに。FotoForensics・InVID・WeVerifyが有用です
- Telegram OSINTの重要性向上:ランサムウェアグループ・ハクティビスト・地政学的脅威アクターがTelegramを主要通信手段として使用。パブリックチャンネルはOSINT情報源として急速に重要性が高まっています
- 衛星画像OSINTの民主化:Planet Labs・Maxar・Google Earth Engineの商用・公開サービスにより高解像度衛星画像が一般調査でも利用可能に。Bellingcatは軍事インフラ・被害状況の調査に活用しています
まとめ:上級OSINT調査者へのロードマップ
Google Dorkingの深化
GHDBを実際に試し、複合演算子の組み合わせを体得する
インフラ調査の自動化
Shodan/Censys APIを使った自動調査スクリプトを自分で書く
IMINTスキルの確立
EXIFとGeolocating手法をワークフロー化する
パッシブDNS・CT活用
証明書ログとPDNSを使ったサブドメイン発見を習慣化する
ピボット思考の練習
1つの情報から次の情報への展開を設計する能力を磨く
法的センサーを磨く
常に「この収集は合法か」を自問する習慣を身につける
次のステップに役立つリソース
- Bellingcat Online Investigation Toolkit(bellingcat.com/resources)
- OSINT Techniques(Michael Bazzell著):最も体系的なOSINT専門書
- OSINT Curious(osintcurio.us):OSINT調査者向けブログ・ポッドキャスト
- TraceLabs(tracelabs.org):行方不明者を実際に調査するOSINT CTFイベント
コメント