MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。
CTF・セキュリティ学習

【SNS・人物OSINT編】ハンドル名と写真から像を立ち上げる|CTF思考フレームワーク #68

かも次郎とアンペンが「SNS・人物OSINT」を解説するマスコットイラスト
安全に生きたい編集部

こんにちは、アンペンです!

今回はSNS・人物OSINT編。ハンドル名・プロフィール写真・メールアドレスといった『個人のデジタル痕跡』を起点に、複数SNSを横断して人物像を立ち上げる手法を扱います。前回扱った『仮説→検証→ピボット→記録』のサイクルを、人物軸で実践する回です。

調査報道(Bellingcat等)、企業のCTI(脅威インテリ)、ペネトレーションテストの偵察、いずれでも『人物特定とソーシャルエンジニアリングのための事前準備』として最頻出の領域です。同時に、倫理線を踏み外しやすい分野でもあるので、自衛(自分の見え方点検)から入るのが安全。

この回はとくに、最初に強くお願いしておきます。SNS・人物OSINTは、力の向け先を誤ると、すぐに“加害”に変わる分野です。だから本記事は一貫して、『他人ではなく、まず自分を対象に練習する』という立場で書きます。自分のデジタル痕跡を知ることは、そのまま最強の自衛になりますし、倫理的にも安全。逆に、他人を無断で追跡・特定して晒したり接触したりするのは、立派な犯罪になり得ます。

ハンドル名1個から、どこまでわかるの?

同じハンドルを複数SNSで横断検索(sherlock/maigret)、過去アーカイブ(Wayback)、漏洩DB(haveibeenpwned)で繋ぐと、想像以上に人物像が立ち上がる。『デジタル筆跡』って言うと感覚が掴みやすいかも。

まず結論

SNS・人物OSINTは(1)ハンドル横断検索(sherlock/maigret/whatsmyname)、(2)プロフィール写真の逆画像検索(Google Lens/Yandex/TinEye)、(3)EXIF/位置情報メタデータ、(4)漏洩DB照合(haveibeenpwned/DeHashed)、(5)他人の言及からピボット(タグ付け/メンション)が定石。守る側は『個人と業務アカウントを完全分離+サービス毎に別ハンドル+SNS公開範囲を年1回点検+haveibeenpwned登録で漏洩即時通知』

この記事で分かること

  • ハンドル横断検索ツール(sherlock/maigret)の使い方
  • プロフィール写真からの逆引き手順
  • EXIFと位置情報の罠
  • 漏洩DB(haveibeenpwned)でのメール照合
  • 個人OSINT対策の防御設定
難易度:初〜中級 所要時間:12分 体験:自分のハンドルで横断検索 おすすめ:#67の後

📖 はじめてのWebセキュリティ #68|SNS・人物OSINT編
ハンドル名と写真から像を立ち上げる。 シリーズ一覧を見る →

⚠️ 大事なお約束
他者を対象にしたOSINTは『公開情報のみ・嫌がらせ禁止・本人の不利益にしない』を絶対に厳守。違反するとプライバシー侵害・名誉毀損・ストーカー規制法等の刑事/民事責任に直結します。自分自身の演習が一番安全です。

Contents
  1. ハンドル横断検索:1名で複数アカウントを掘る
  2. プロフィール写真からの逆引き
  3. CTFでやってみよう:自分自身でフルOSINT
    1. 自分のハンドル+写真+メールで像を立ち上げる
  4. 守る側:『個人と業務の完全分離+定期点検』
  5. まとめ:『同名ハンドル+顔写真+メール』の3点を点検
  6. 次に読みたい記事
  7. 参考資料

ハンドル横断検索:1名で複数アカウントを掘る

人は『同じハンドル名を複数サービスで使い回す』傾向があります。仕事用・趣味用・匿名用と意識的に使い分けたつもりでも、登録時の癖や過去の慣習で重複していることが多い。ハンドル横断検索ツールはこの『癖』を狙い撃ちします。

なぜハンドルの使い回しが危ないのか。それは“楽さの代償”です。同じ名前なら覚えやすいし、入力もラク。でもその利便性は、裏を返せば『あちこちのサービスに同じ印を残している』ということ。仕事用・趣味用・本音用…と分けたつもりでも、どこか1つで本名やメールと繋がっていれば、芋づる式に全部がほどけてしまう。便利さと匿名性は、残念ながらトレードオフなんです。

  • Sherlock:400以上のSNSサービスで同名ユーザを検索するOSS定番。sherlock alice123で実行
  • Maigret:Sherlockの後継、500+サービス対応、より高速で詳細(プロフィール情報も収集)
  • WhatsMyName:WebUI版、ブラウザだけで動くので導入不要
  • 使い方の流れ:結果リスト→各SNSプロフィール訪問→同名でも別人の可能性を判別(プロフィール写真・自己紹介・投稿内容の整合性)

ここで強調したいのが、最後の『同名でも別人かも』という注意です。OSINTで一番こわいのは、実は“見つからないこと”より“間違って結びつけること”。たまたま同じハンドルの別人を本人だと思い込み、無関係な人を晒してしまえば——それは名誉毀損であり、人の人生を狂わせる加害です。だから『複数の独立した手掛かりが一致して、初めて同一人物と判断する』。この慎重さは、技術以前の、プロの作法なんです。

同一ハンドル名で複数SNSサービスを横断検索するSherlock/Maigretの流れ図解
図1:同一ハンドルで複数SNSを横断検索
🪪 たとえるなら、同じ筆跡の手紙

『匿名のラブレター』と『年賀状』が同じ筆跡なら、書いた人は同一人物の可能性が高い。ハンドル名は『デジタルの筆跡』で、複数サービスで同じハンドルを使っていると、書き手の人物像が紐付けられてしまいます。さらに、たとえハンドルを変えても『文体・絵文字の使い方・投稿時間帯』が癖として残ると、文体分析(stylometry)で同一人物特定が可能。完全な匿名化は想像以上に難しい、と知るのが第一歩。

ここで覚える用語:Username Enumeration / haveibeenpwned
Username Enumerationは同一ハンドル名を多数のサービスで自動探索する技法。sherlock/maigretが定番。CTFや自己点検以外で他者に行うとプライバシー侵害になりえます。haveibeenpwned.comはTroy Hunt氏が運営するメール漏洩照合サービス。過去のデータ漏洩(LinkedIn 2012/Adobe 2013/Collection #1等の累計130億件超)からメールが見つかれば、そのメールが過去に使われたサービスが芋づる式に判明します。自分のメールを登録しておくと、今後の漏洩を通知してくれる機能もあるので、守りとしてもおすすめ。

プロフィール写真からの逆引き

  • Google Lens / Yandex画像 / TinEye:逆画像検索の3大エンジン。それぞれ得意分野が違うので3つ全部当てるのが定石(YandexはCIS圏が強い)
  • PimEyes:顔認識ベースの検索(プライバシー観点で物議。日本でも倫理議論あり)
  • EXIF解析:exiftool image.jpgで撮影日時・GPS座標・カメラ機種・所有者名(Lightroom編集者)が見える
  • 背景分析:看板の言語・道路標識の形・電柱・店舗ロゴ・植生から国・地域を絞り込み(Geolocation技法、#69で詳しく)
  • 同一画像の他用途検出:同じ写真が別アカウントで使われていれば、人物同一の手掛かり

写真は、本人が思う以上に多くを語ります。何気ない自撮りの背景に、最寄り駅の看板や自宅の窓からの景色が写り込む。撮影時の位置情報(EXIF)が、そのまま埋め込まれていることもある。『顔は隠したから大丈夫』と思っても、背景や撮影データが居場所を教えてしまうわけです。これは裏返せば、自分が何かを投稿するときの“チェックリスト”そのもの。出す前に背景とメタ情報を一度疑う、という習慣につながります。

同じ筆跡の手紙2通から同一人物を特定する探偵の様子をデジタル筆跡にたとえたイラスト
図2:同じハンドル=同じデジタル筆跡
逆画像検索・EXIF解析・背景分析の写真OSINT3経路を横並びカードで示した図解
図3:写真OSINTの3経路(逆画像・EXIF・背景)

CTFでやってみよう:自分自身でフルOSINT

やってみよう / 自分の環境・CTFのみ

自分のハンドル+写真+メールで像を立ち上げる

目的は『公開情報から自分について何が分かるか』を体感して、過剰露出を直すこと。他者に対する練習は倫理リスクが大きいので、まず自分から始めます。

  1. sherlock 自分のハンドル 実行→出てきたSNS一覧をメモ(忘れていた古いアカウントが出ることが多い)
  2. 各SNSの公開範囲設定を確認、過剰露出があれば設定変更
  3. 自分のプロフィール写真を Google Lens / Yandex / TinEye で逆検索→他の場所に流用されていないか
  4. 自分のメールをhaveibeenpwned.comで確認→漏洩済みなら全パスワード即再設定+MFA強化
  5. EXIFを意図せず公開してないか(撮影写真の位置情報)→スマホ設定で『位置情報を写真に付与』をオフに
  6. 古いアカウント・使っていないSNSを削除依頼(JustDeleteMe.xyz等で各サービスの削除手順を確認)
  7. 業務用と個人用のメール・ハンドルを完全分離するルールを策定
  8. 家族や同僚と『お互いを公開情報だけで調べ合う』演習(同意必須)で気付きを得る
他者を対象にする場合は『公開情報のみ・嫌がらせ目的ではない・本人の不利益にしない』ことを厳守。違反すれば刑事/民事責任。

さて、ここまでの“攻め”の知識は、そっくりそのまま“守り”の設計図になります。攻撃者がどうやって自分を見つけるかを知っていれば、その経路を一つずつ塞げばいい。次の対策リストは、まさに『今日見てきた手口を、片っ端から無効化する』という発想で並んでいます。

守る側:『個人と業務の完全分離+定期点検』

個人OSINT対策ベストプラクティス
  • SNSはサービスごとに別ハンドル(突合可能性を最小化)、特に業務関連サービスは別アドレス・別ハンドル
  • 業務用と個人用のメール・電話番号・SNSを完全に分ける
  • 位置情報・EXIFは共有時にスクラブ(iOS『写真』アプリ:共有→オプション→位置情報なし)
  • haveibeenpwnedにメールを登録、リーク発生時に即時通知
  • 顔写真の多用は控える(逆画像検索でクロス特定可能)、プロアイコンか加工写真を使う
  • SNSの公開範囲を年1回点検、Facebookの『公開投稿』『友達タグ付け』『写真の確認』を厳格化
  • 家族の名前・子供の制服・自宅周辺風景を投稿しないルールを家族間で共有
  • 古い・使っていないアカウントは削除(放置=データソースとして残り続ける)
  • パスワード管理ツール(1Password / Bitwarden)でサービスごとに一意の強パスワード+MFA

リストを見て『全部やるのは大変…』と感じても大丈夫。完璧を目指す必要はありません。OSINT対策は“ゼロか100か”ではなく、“露出をどれだけ減らせるか”の勝負だからです。古いアカウントを1つ消す、写真の位置情報を切る、漏洩通知を登録する——できるものから一つ積むたびに、あなたの“見えにくさ”は確実に上がっていきます。

『デジタル筆跡』ってヤバいね…全部別名にしないと。

次回は画像OSINT。Geolocationという『写真から場所を当てる』技を扱うよ。

まとめ:『同名ハンドル+顔写真+メール』の3点を点検

今回のポイント
  • Sherlock/Maigret/WhatsMyName でハンドル横断検索が定石
  • 逆画像検索3エンジン(Google Lens/Yandex/TinEye)で写真クロス特定
  • haveibeenpwnedで漏洩メール照合+今後の通知設定
  • 守りは個人/業務分離+別ハンドル+年1点検+パスワード管理+MFA

今日の持ち帰りは『この技術は、まず自分を守るために使う』。ハンドル・顔写真・メールの3点を自分で点検すれば、攻撃者から“どう見えているか”が分かり、穴を塞げます。そして何度でも——その同じ力を、他人へ無断で向けないこと。“調べられる”と“調べていい”のあいだには、はっきりとした、越えてはいけない線があります。

次回は画像OSINT編。写真から場所と時刻を当てるGeolocationの作法を扱います。Bellingcatが実戦で使う技法集。

次に読みたい記事

NEXT / #69 画像OSINT編|写真から場所と時刻を当てるGeolocation → PREVIOUS / #67 OSINT入門編|公開情報だけで世界を読み解く思考 →

参考資料

📚 CTF・セキュリティ学習ハブへ戻る →
Recommend
こちらの記事もどうぞ
記事URLをコピーしました