MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。
CTF・セキュリティ学習

【OSINT入門編】公開情報だけで世界を読み解く思考|CTF思考フレームワーク #67

かも次郎とアンペンが「OSINT」を解説するマスコットイラスト
安全に生きたい編集部

こんにちは、アンペンです!

ここから新章OSINT(Open Source Intelligence)編。日本語で『公開情報源を用いた諜報』──と訳すと堅いですが、要は『SNS・Web・公文書・地図など、誰でもアクセスできる情報を体系的に組み合わせて、組織や人物や出来事の輪郭を立ち上げる』調査技法です。Bellingcatのような調査報道機関、CTI(Cyber Threat Intelligence)チーム、ペネトレーションテスターの偵察フェーズ、いずれもOSINTを土台にしています。

『ググるだけ』に見えて実は奥が深い分野で、『仮説→検証→ピボット→記録』のサイクルを規律正しく回すのがプロとアマチュアの分かれ目です。今回はこの章の入口として、思考フレームワークと倫理を整理します。

OSINTのイメージは、名探偵の推理に近いかもしれません。一見バラバラな手掛かりを拾い集め、『この点とこの点はつながる』と線を引いて、全体像を浮かび上がらせる。違うのは、使うのが“誰でも見られる公開情報だけ”という点です。そしてここが何より大事——『見られる=見ていい、ではない』。技術として“できる”ことと、倫理・法律として“やってよい”ことは、まったくの別物です。この一線を、最初に強く握っておいてください。

OSINTって『ググるだけ』のイメージだけど、本当に技術いるの?

『ググる』も極めれば武器。『仮説→検証→ピボット→記録』のサイクルを規律正しく回しながら、複数の独立ソースを繋いで像を立ち上げる作業がOSINTの本質。さらに倫理(公開情報のみ・対象者の不利益にしない)が前提として絶対に必要だよ。

まず結論

OSINTは『公開情報を体系的に組み合わせて意味を作る』調査技法。基本サイクルは(1)仮説を立てる、(2)複数の独立ソースで検証、(3)新しい手掛かりへピボット、(4)URL+時刻+信頼度を記録。ソース系統はSNS/画像/ドメイン/コード/地理/メタデータの6カテゴリ。守る側は『攻撃者と同じ視点で自社の見え方を定期監査』、攻める側は『倫理3原則(公開のみ・不利益与えない・記録と再現性)』を絶対に守ります。

この記事で分かること

  • OSINTの定義と他の調査領域(HUMINT/SIGINT)との違い
  • 仮説→検証→ピボット→記録の4ループ
  • 主要ソース6カテゴリ(SNS/画像/ドメイン/コード/地理/メタ)
  • 倫理3原則と法的境界線
  • 記録の取り方(再現可能な調査ノート)
難易度:初〜中級 所要時間:12分 体験:自分のハンドルでOSINT おすすめ:#66の後

📖 はじめてのWebセキュリティ #67|OSINT入門編
公開情報だけで世界を読み解く思考。 シリーズ一覧を見る →

⚠️ 大事なお約束
OSINTで集めた情報を個人特定の晒し・嫌がらせ・脅迫・無断接触に使うと、別の犯罪(プライバシー侵害・名誉毀損・ストーカー規制法違反等)になります。CTFや自分自身を対象にした演習で、限定的に練習してください。

Contents
  1. OSINTの基本思考:仮説→検証→ピボット→記録
  2. 主要ソース6カテゴリ
  3. CTFでやってみよう:自分自身でOSINTピボット
    1. 『自分のハンドル』を起点に手掛かりを辿る
  4. 守る側:『自社の見え方を定期監査』
  5. まとめ:『仮説と検証のサイクル+倫理3原則』
  6. 次に読みたい記事
  7. 参考資料

OSINTの基本思考:仮説→検証→ピボット→記録

OSINTを『ググる』とは違う知的作業たらしめているのは、この4ステップのサイクルを意識的に回すこと。雑な検索は『たまたま見つけた情報』に振り回されますが、サイクルを回すと『発見が次の発見に繋がる構造』が出来上がります。

『ただ検索するのと何が違うの?』と思うかもしれません。違いは“目的を持って動く”かどうかです。なんとなく検索すると、目に入った情報に振り回されて、気づけば最初の問いを忘れている……ということが起きがち。でも『この仮説はYESかNOか』と決めてから動けば、出てきた情報を『これは裏付けになる/ならない』と仕分けられます。同じGoogleでも、羅針盤を持って漕ぐか、波任せに漂うかの差なんです。

  • ①仮説:『この人物は東京在住で技術職?』『このサーバは買収企業所有?』等、具体的な命題を立てる。漠然と『調べる』ではなく、YES/NOで答えられる質問に落とす
  • ②検証:独立した複数ソースで裏付け。SNS+会社サイト+勉強会登壇記録、と異なる出所から同じ事実が出れば信頼度が上がる
  • ③ピボット:1つ判明したら『そこから次の仮説』に繋ぐ。例:勉強会登壇→他参加者→組織内人間関係→組織図の補完
  • ④記録:ソースURL・取得日時・スクリーンショット・信頼度評価を必ずメモ。後で第三者が同じ結論に到達できる形で残す

4つの中でも、最初の『仮説』が一番のコツです。ポイントは“YES/NOで答えられる形”にすること。『この人について調べる』だと漠然としすぎて、どこまでやっても終わりません。でも『この人は東京在住か?』なら、裏が取れた瞬間に一区切りつき、次の問い(ピボット)へ進めます。問いを小さく切るほど、調査はテンポよく前に進むんです。

仮説・検証・ピボット・記録のOSINT4ステップサイクル図解
図1:仮説→検証→ピボット→記録のループ
🧩 たとえるなら、ジグソーパズル

1枚の写真や1つのプロフィールだけでは『青空の1ピース』のようなもの。それが100ピースあっても、繋ぎ方が分からなければ意味を持ちません。OSINTは『どのピースを集め、どこで繋ぐか』という構造化思考が本体。1ピースずつでは無力でも、形が合うピース同士を見つけて繋いでいくと、徐々に風景が立体的に見えてくる──これがピボットの感覚です。

ここで覚える用語:ピボット(Pivot)
OSINTで判明した1つの情報を起点に、別の情報源・別の属性へ調査を広げる動作。例:メールアドレス1件→haveibeenpwned.comでリーク確認→同メールが使われた他サービス→共通ハンドル名→GitHub→そこにあるコード→過去のコミットメッセージ→…と1件から枝が広がります。1つの手掛かりから何本のピボットを伸ばせるかがOSINT実力の指標。プロは1件のメアドから10〜20件の関連情報を引き出します。

主要ソース6カテゴリ

OSINTで使えるソースは膨大ですが、6つの大カテゴリに分けて頭に入れておくと、調査時に『どのカテゴリをまだ当たっていないか』のセルフチェックが効きます。

この6カテゴリ分けには、地味だけど大きな効用があります。それは“やり残しに気づける”こと。行き詰まったとき、『SNSは見た、画像も見た……あ、ドメイン系をまだ当たっていない』と、抜けを機械的にチェックできるんです。人は無意識に、得意な情報源ばかり掘りがち。だからこの“6つの引き出し”を持っておくと、視野の偏りを防げます。

  • SNS/人物:X(Twitter)、Facebook、LinkedIn、Mastodon、Bluesky、Reddit、TikTok。プロフィール、投稿、フォロー関係から人物像を立ち上げ
  • 画像/動画:Google Lens、Yandex画像、TinEye(逆画像検索)、EXIFビューア、PimEyes(顔認識)、YouTube/TikTok
  • ドメイン/組織:WHOIS、CT log(crt.sh)、SecurityTrails(パッシブDNS)、Shodan、Censys、Subfinder/Amass(サブドメイン列挙)
  • コード/コミット:GitHub/GitLab/Bitbucket、Pastebin、Wayback Machine、gitleaks(漏洩シークレット)
  • 地理:Google Earth/Maps Street View、OpenStreetMap、SunCalc(太陽位置)、Wikimapia
  • 文書/メタデータ:ExifTool(画像)、PDF/Word metadata(作成者・修正履歴)、企業の決算公告・登記情報

面白いのは、カテゴリの“あいだ”をまたぐ瞬間です。SNSで見つけたハンドル名を、そのままコード(GitHub)で検索する。画像から割り出した地名を、地理(Maps)で裏取りする。1つのカテゴリで行き止まっても、別カテゴリへ“飛び移る”と道がつながる。前のセクションで出た『ピボット』は、まさにこのカテゴリ間ジャンプのことなんです。

SNS・画像・ドメイン・コード・地理・メタデータのOSINT6ソースカテゴリ図解
図3:OSINT主要ソース6カテゴリ
OSINTを複数ピースを繋いで像を立ち上げるジグソーパズルにたとえたイラスト
図2:1ピースは無力、複数を繋いで像が立ち上がる

CTFでやってみよう:自分自身でOSINTピボット

やってみよう / 自分の環境・CTFのみ

『自分のハンドル』を起点に手掛かりを辿る

目的は『自分について公開情報からどこまで分かるか』を体感し、過剰露出を点検することです。他者対象の練習は倫理リスクが大きいので、まず自分から。

  1. 自分が普段使うハンドル名でGoogle検索 → 何が出るか確認
  2. 同じハンドルで GitHub / X / Mastodon / Reddit / LinkedIn を横断検索
  3. 過去にいた勉強会・Qiita・Zenn・個人ブログを辿る
  4. 自分のメールをhaveibeenpwned.comで確認(過去の漏洩状況)
  5. 自分のプロフィール写真を Google Lens/Yandexで逆画像検索
  6. 記録:発見した URL を時系列でメモ。再現可能性を意識
  7. 過剰露出があれば、SNS設定変更・古いアカウント削除・新ハンドル化を実施
  8. 家族や同僚を巻き込んで『お互いを公開情報だけで調べ合う演習』(同意の上で)
他者を対象にする場合は『公開情報のみ・嫌がらせや晒し行為に転用しない・対象者の不利益にならない』ことを厳守。違反すれば刑事/民事責任を問われます。

ここで視点を“守る側”へ移します。OSINTは攻撃者の偵察の入口でもあります。だから一番効く防御は、『攻撃者と同じ目線で、自社や自分が“どう見えているか”を定期的に確かめる』こと。なお、他者を調べる練習をするなら、改めて——公開情報の範囲で、相手の不利益にせず、晒しや無断接触には絶対に使わない。“できる”の先に“やってよい”の線がある、これを忘れないでください。

守る側:『自社の見え方を定期監査』

OSINT自社監査ルーチン
  • 会社ドメインに対するCT log/サブドメイン列挙(crt.sh, subfinder)で意図しない公開を発見
  • GitHub組織アカウントのシークレット漏洩gitleaks/trufflehogで定期スキャン
  • 役員/管理者のSNSから家族・住居・行動パターンが漏れていないか年1回チェック
  • SOC/Threat Intelligenceチームに毎週のOSINT監査を組み込む
  • 退職者がGitHub等に残した社内コード・ドキュメントがないかサーチ
  • Dark Web monitoring(Have I Been Pwned for Business等)で漏洩アカウントを早期発見
  • 採用面接の前段で『候補者の公開情報』を確認(差別になる属性は無視、職能関連のみ)
  • 四半期に1回、外部視点でのOSINT耐性レポートを経営層に提出

『仮説→検証→ピボット→記録』のサイクル、調査のプロっぽくてかっこいい!

次回はSNS・人物OSINT。ハンドル名や写真から像を立ち上げる具体技を扱うよ。

まとめ:『仮説と検証のサイクル+倫理3原則』

今回のポイント
  • OSINTは仮説→検証→ピボット→記録の4ステップループ
  • 記録(URL+時刻+信頼度)が再現性の鍵
  • 主要ソースはSNS/画像/ドメイン/コード/地理/メタの6カテゴリ
  • 倫理3原則:公開情報のみ・対象者の不利益にしない・記録と再現性を絶対遵守
  • 守る側は攻撃者と同じ視点で自社を年1回監査

今日の持ち帰りは2つ。技術面では『OSINTは検索ではなく、仮説と検証のサイクル』。そして倫理面では『見られる情報でも、使い方しだいで加害になる』。この章では一貫して“自分を対象に練習する”ことを勧めます。力の使い道を誤らないこと——それが、OSINTを学ぶうえで何よりの土台です。

次回はSNS・人物OSINT編。ハンドル名と写真から像を立ち上げる具体的な手法とツール(Sherlock/Maigret/逆画像検索)を扱います。

次に読みたい記事

NEXT / #68 SNS・人物OSINT編|ハンドル名と写真から像を立ち上げる → PREVIOUS / #66 Pwn総まとめ編|実戦シナリオとチートシート →

参考資料

📚 CTF・セキュリティ学習ハブへ戻る →
Recommend
こちらの記事もどうぞ
記事URLをコピーしました