【Linuxカーネル&コンテナエスケープ編】DirtyPipeからDocker socketまで|CTF思考フレームワーク #38
安全に生きたい編集部
安全に生きたい
【OSINT総まとめ編】倫理・記録・ピボットを極めて全86本を完走する|CTF思考フレームワーク #71
安全に生きたい編集部
こんにちは、アンペンです!
今回はOSINT章の最終回、倫理・記録・ピボットを極めて完走する総まとめです。#67で扱った思考フレームワーク、#68 SNS人物、#69 画像Geolocation、#70 ドメイン偵察を統合し、OSINT調査者として『どう振る舞うか』『どう報告書を書くか』をまとめます。
OSINTは技術以上に『姿勢』が問われる分野です。同じ情報を集めても、倫理的な調査者の手にあれば組織防御に役立ち、そうでなければ嫌がらせや晒し行為になります。CTI(Cyber Threat Intelligence)・調査報道・ペネトレーションテストの偵察、どの現場でも『調査の質+倫理+記録』の3点が信頼の土台です。
OSINTの総まとめとして、まず一番大事なことを。この分野は、技術が7割…ではなく、実は『姿勢』が9割です。検索の腕前が同じでも、それを“組織を守るため”に使う人と、“誰かを晒すため”に使う人とでは、まったく別のものになる。同じ包丁が、料理にも凶器にもなるのと同じです。だから最終回は、テクニックの総ざらいと同じくらい、『どう振る舞うか』に紙幅を割きます。
OSINTって何かと『プライバシー侵害』との境界が気になる…
その感覚が大事。倫理的なOSINTには『公開情報のみ・対象者の不利益にしない・記録と再現性』という3条件がある。これを破ると単なる嫌がらせや犯罪になる。線引きが曖昧な調査は、そもそも公開する前に立ち止まるのがプロの作法。
まず結論
OSINT総まとめ:(1)倫理3原則(公開情報のみ・対象者の不利益にしない・記録と再現性)、(2)ピボット技法(1手掛かりから複数経路へ展開、メール→haveibeenpwned→過去サービス→ハンドル→GitHub等)、(3)記録の取り方(URL+取得日時+スクリーンショット+アーカイブ+信頼度評価)、(4)報告書化(結論・根拠・出典・タイムスタンプ・信頼度の5要素、断定を避け『推定される』『可能性が高い』を使う)。これでOSINT章完結、応用ルート(Recon R01〜R10/Privesc P01〜P05)に向けて準備完了です。
この記事で分かること
- OSINT倫理3原則の具体的な線引き
- ピボット技法を複数経路で展開する実例
- 再現可能な記録の取り方(URL/時刻/スクショ/アーカイブ)
- OSINT報告書の5要素構造と書き方
- 個人・組織それぞれの自衛策の総まとめ
📖 はじめてのWebセキュリティ #71|OSINT総まとめ編
倫理・記録・ピボットを極めて完走する。 シリーズ一覧を見る →
⚠️ 大事なお約束
OSINTは強力な技術。嫌がらせ・晒し・無断接触・脅迫・差別目的に転用すれば犯罪です。CTFや自社監査・許可された範囲のみで使用してください。違反すればプライバシー侵害・名誉毀損・ストーカー規制法等で刑事/民事責任。
Contents
倫理3原則:現場で迷ったときの判断基準
- ①公開情報のみ:パスワード・有料DBへの不正アクセス禁止、ハッキング・パスワード推測・ソーシャルエンジニアリング(なりすまし)はOSINT外。『誰でも検索すれば見える』情報以外は触らない
- ②対象者の不利益にしない:晒し・脅迫・嫌がらせ・差別はOSINTではなく犯罪。『調査結果を本人や第三者に対して悪用しない』が線。ジャーナリズム的な公益目的でも、報道倫理(本人弁明機会・匿名化検討)を遵守
- ③記録と再現:第三者が同じ結論に到達できる形で残す。『言いっぱなしの主張』ではなく『誰でも検証できる根拠の連鎖』として残す
- 業務でやる場合は必ず書面で許可を取る(自社監査でもログを残す)。『同意+ログ+目的』の三点セット
- 調査中に違法アクセスの誘惑が出てきたら即停止。情報の価値より法的リスクが大きい
5つの中でも、最後の『誘惑が出たら即停止』は、現場でいちばん効く判断基準です。調査に夢中になると、『あと一歩、ここにログインできれば全部わかるのに』という瞬間が必ず来ます。でも、そのログインこそが、合法と犯罪を分ける一線。『公開情報か、そうでないか』で迷った時点で、もう答えは出ています——触らない。手に入る情報の価値より、踏み越えたときの代償のほうが、はるかに大きいんです。
図解:OSINT報告書の5要素構成
調査結果は『結論・根拠・出典・タイムスタンプ・信頼度』の5要素で構成。第三者がレビューでき、必要なら本人や法務にも示せる形が理想です。
なぜここまで“記録”にこだわるのか。それは、記録のないOSINTは『ただの噂話』と変わらないからです。『たぶんこの人だと思う』では、誰も信じてくれませんし、もし間違っていたら取り返しがつきません。でも『この日の、このURLに、こう書いてあった』と出典を添えれば、第三者が同じ道をたどって確かめられる。この“再現できる”という一点が、ただの主張を“証拠”に変えるわけです。
📰 たとえるなら、ジャーナリストの取材ノート
ジャーナリストの取材ノートは『誰がいつ証言したか・写真はいつ撮ったか・URLは何か』を全て記録します。記事の信頼性は、後から第三者がノートを辿って同じ結論に到達できる『再現可能性』で担保されます。OSINTも同じで、出典を明記しない調査は信頼されない。逆に出典が完璧なら、後で誰でも検証できるので、法廷でも社内会議でも通用する強さを持ちます。Bellingcatのレポートが世界の調査機関や法廷で引用されるのは、この『再現可能性』を徹底しているからです。
ここで覚える用語:Source Reliability(出典信頼度) / Admiralty Code
OSINTで集めた情報には『高/中/低』のように信頼度を付けます。NATO等で使われるAdmiralty Codeでは、ソース信頼性をA(完全信頼)〜F(評価不能)、情報内容を1(確認済)〜6(評価不能)の2軸で表記(例:B2=信頼できるソースで確認済の高信頼)。報告書では『出典信頼度+確証度』を明記し、断定的な表現は避ける(『可能性が高い』『推定される』『〜と考えられる』を使う)。1つのソースで断定するのは禁物、最低2つ以上の独立ソースで確認を心がける。
ピボット技法の総合活用
OSINTの『芯』はピボット──1つの確定情報から複数経路で展開すること。プロのOSINT調査者は、1件のメールアドレスから10〜20の関連情報を引き出します。代表的な3経路は以下:
ピボットのコツは、『1本の枝で行き止まったら、別の枝に飛ぶ』こと。メール経路が途切れても、写真経路ならまだ伸ばせるかもしれない。1つの入口に固執せず、確定した情報を“次の入口”として何本も枝を出していく。木が幹から枝を、枝から葉を広げるように調べていくと、点だった情報が、いつのまにか立体的な像になっていきます。
- メール経路:メアド→
haveibeenpwnedでリーク確認→過去サービス→共通ハンドル→SNSプロフィール→投稿写真→Geolocation - ドメイン経路:会社ドメイン→
crt.shでサブドメイン→GitHub organization→社員名→LinkedIn→組織図再構成→影響範囲推定 - 写真経路:1枚の写真→Geolocation→撮影場所→近隣店舗のレビュー→店舗SNS→投稿時刻→SunCalcで撮影時刻整合性検証
- 共通点:1つの確定情報から複数経路へ枝を伸ばす。途中で行き詰まったら別経路に切り替え
- 各経路を3〜5回ピボットすると、像が立体的になる
CTFでやってみよう:自分自身で総合演習
やってみよう / 自分の環境・CTFのみ
自分1人を対象にフルOSINT実施→報告書化
目的は『自分について公開情報からどこまで分かるか』を体感し、過剰露出を直すこと+報告書フォーマットを習熟すること。他者対象は倫理的に難しいので、まず自分から。
- 起点:自分のメールアドレス1つを選定
- 横断検索:Sherlock/Maigret/WhatsMyNameで同一ハンドルのSNS洗い出し
- haveibeenpwned/DeHashedで漏洩照合→過去サービス特定
- SNS投稿→写真→Geolocation→所在地推定(自分なので答え合わせ可能)
- ドメイン経路:自分の個人ブログがあればcrt.shで関連サブドメインを洗う
- 各発見を『URL+取得日時+スクリーンショット+信頼度(A1〜F6)』でメモ
- 最終的に1ページのレポート化(結論+根拠+出典+断定回避表現)
- 読み返して『他人が同じ結論に到達できるか』確認
- 過剰露出を直す → SNS設定変更・古アカウント削除・パスワード変更・MFA
他者を対象にする場合は必ず文書で同意を取るか、CTF・自社監査・許可済み範囲のみ。違反すれば刑事責任(プライバシー侵害・名誉毀損・ストーカー規制法等)。
さて、最後は守る側です。OSINTの怖さを一通り知った今なら、防御の勘どころもすっと入るはず。ポイントは『個人の自衛』と『組織の監査』の二段構え。一人ひとりが露出を減らしつつ、組織としても“自分たちがどう見えているか”を定期的に確かめる。攻撃者の視点を借りて、先回りで穴を塞ぐわけです。
守る側:組織的なOSINT耐性を作る
組織でのOSINT対策(役割別)
- SOC/Threat Intelligenceチームに定期OSINT監査(自社の見え方を四半期1回点検)を組み込む
- 役員・管理者向けにOSINTリテラシー研修(SNS設定・写真投稿・家族の露出)を年1回
- 退職者がGitHub等に残した社内情報のサーチ(
gitleaks/trufflehogを定期実行) - Dark Web monitoring(Have I Been Pwned for Business / SpyCloud)で漏洩アカウントを早期発見
- 『うちは何が見えているか』を年1回外部視点で監査、レポートを経営層に提出
- 採用面接で『候補者の公開情報』を確認(差別になる属性は無視、職能関連のみ)、運用ルールを文書化
- VIPプロテクション:役員家族の住所・行動パターンが漏れない仕組み
- セキュリティポリシーにOSINT対応を明記、インシデント時の対応フローも整備
これでOSINT章完走か…長かったけど、視野が広がった気がする!
ここから先は応用ルート。R01〜R10の偵察ルート、P01〜P05の権限昇格ルートで実戦演習を続けよう。
まとめ:『倫理+ピボット+記録の三本柱』
今回のポイント
- 倫理3原則:公開情報のみ・対象者の不利益にしない・記録と再現性を絶対遵守
- ピボット:メール/ドメイン/写真の3経路で1情報から複数展開
- 報告書は結論・根拠・出典・タイムスタンプ・信頼度の5要素
- 断定回避(『推定される』『可能性が高い』)+複数ソースで確認
- 組織は定期OSINT監査+リテラシー研修+退職者コード監視
そして、これで本編71本も完走です。古典暗号からPwn、そしてOSINTまで——長い道のりでしたね。最後にもう一度だけ。ここで身につけた力は、すべて“守るため・気づくため”にあります。同じ力を、誰かを傷つける方向へ向けないこと。『できる』と『やってよい』のあいだの一線を守れる人こそ、本当に信頼されるセキュリティ人材です。お疲れさまでした!
これで本編71本完走です!ここからは応用ルート(Recon R01〜R10 / Privesc P01〜P05)で実戦演習を続けてください。
次に読みたい記事
参考資料
次に読みたい記事
未経験からセキュリティ・インフラエンジニアを目指すロードマップ
CTFの先のキャリア。インフラ基礎固めから就職までの4ステップ。
