MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。

【メタデータ・人物OSINT編】画像・文書・SNSから人と組織を辿る|CTF思考フレームワーク R08

【メタデータ・人物OSINT編】画像・文書・SNSから人と組織を辿る|CTF思考フレームワーク R08 アイキャッチ画像
安全に生きたい編集部

メタデータって、ファイルに隠れた情報?📑

そうです。PDF・Word・PowerPoint・JPEG ――どれもファイル内部に作者名・組織名・作成日時・編集ソフト・GPS座標などのメタ情報が埋め込まれています。これを読めば、組織の内部構造や個人の動きが見えます。

メタデータOSINT は、公開ドキュメント・画像から個人・組織情報を抽出する技術。PDF・Word・PowerPoint・JPEG メタデータには、作者名・編集者・組織名・PCホスト名・編集ソフトバージョン・GPS座標などが残ります。exiftool・metagoofil で網羅的に抽出可能。

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

うちの会社のPDFも、メタデータから情報漏れてるかも…

この記事は、CTF思考フレームワーク Recon編 R08。メタデータ・人物OSINT の手法(exiftool・metagoofil・OSINT Framework)と、自社ドキュメントから漏れる情報、公開前のメタデータ除去手順を整理します。

メタデータと人物OSINTは、「公開された情報の隅っこ」から組織や人を浮かび上がらせる技術。SNSの写真1枚、PDFの作成者欄、Wordのリビジョン履歴、コミットのemail…一見何でもない情報から、ソーシャルエンジニアリングの素材が大量に集まります🔬

メタデータは「気づかれない情報源」。だからこそ抜け落ちがちで、だからこそ刺さります。

この記事で出てくる言葉

先に意味を押さえておくと読みやすい用語です。

  • CTF: セキュリティの練習問題を解く競技。必ず許可された環境だけで試します。
  • ソーシャルエンジニアリング: システムではなく人の心理や油断を突いて情報を聞き出す手口です。
  • 情報漏洩: 本来出てはいけない個人情報や機密情報が外部に出ることです。
  • OSINT: 公開されている情報だけを集めて分析する調査手法です。
この記事の難易度

難易度:★★☆(中級) / この枝ルートの記事は、必要な回だけ選んで読めます。

Contents
  1. 👀 観察フェーズ:まず何を見る?
  2. 🤔 仮説フェーズ:攻撃者は何を考える?
  3. 🔬 検証フェーズ:どうやって確かめる?
  4. ⚔️ 攻撃フェーズ:実際の手口
  5. 🛡️ 防御フェーズ:どう守る?
  6. 🧪 自分で検証ラボを作る
  7. ⚠️ よくある落とし穴
  8. 🧰 ツール早見表
  9. 🎓 本気で学びたい人へ
  10. 📚 もっと深く学びたい人へ
  11. 📚 次に読みたい
  12. ✍️ 学んだことを発信する
  13. ⚖️ 大事なお約束

👀 観察フェーズ:まず何を見る?

メタデータは「身分証なしで本人がバレる」典型例。意図せぬ情報漏洩は無数に存在します。

🤔 仮説フェーズ:攻撃者は何を考える?

攻撃者は「組織サイトに置かれた PDF や PowerPoint には、作成者の Windows ログオン名と PC ホスト名が残っているはず」と仮説立てします。IR 資料の `Author` が `taro.yamada` で `LastModifiedBy` が `hanako.suzuki` なら、ドメインユーザ命名規則が `firstname.lastname` だと推定でき、ブルートフォースの辞書がほぼ完成します。次に立てるのは画像系の仮説で、社員紹介ページの JPEG に GPS が残っていればオフィスや勤務先の特定に直結し、`Software` タグから iPhone 機種や Photoshop バージョンも推定できます。さらに GitHub・Qiita・LinkedIn を横断し、メールアドレスと社員名を点でつなぐと、ターゲット 1 人ぶんの精密なソーシャルエンジニアリング素材が揃います。

人物OSINTは「点を線にする」作業。1つの情報単独では弱くても、つなぎ合わせると強力なプロファイルになります。

🔬 検証フェーズ:どうやって確かめる?

検証はサイトクロールからメタ抽出までを一気通貫で進めます。まず metagoofil や Google dorks の `site:example.com filetype:pdf` で公開文書を全件回収し、ローカルに保存します。続いて `exiftool -r -csv ./docs > meta.csv` を実行し、Author・Company・Producer・CreateDate・LastModifiedBy・Comments を一括抽出します。画像は `exiftool -GPS* -Model -Software` で位置情報・撮影機材を確認し、TinEye と Google Reverse・Yandex に投げて初出と転載先を辿ります。人物 OSINT 側では、抽出した氏名を Sherlock に流して SNS アカウントを横断検索し、Maltego で氏名・メール・ドメインの関係をグラフ化すると、誰が誰と接点を持っているかが浮かび上がります。

⚔️ 攻撃フェーズ:実際の手口

実戦の典型は標的型メールへの素材集めです。攻撃者は IR ページから決算説明資料の PDF を取得し、exiftool で `Author: k.tanaka` と `Company: ExampleCorp` を確認。続いて社員紹介写真の EXIF から `Make: Apple, Model: iPhone 15`、GPS が東京本社の座標を指していると分かれば、田中氏が東京本社所属の iPhone ユーザだと特定できます。LinkedIn で同名アカウントを見つけ、最近の登壇イベントを把握したうえで「先日の登壇拝見しました、資料の補足を共有させてください」という装いの ZIP 付きメールを送れば、開封率は跳ね上がります。CTF の OSINT カテゴリでも、画像 1 枚から人物・所在・所属を辿るタスクが頻出し、メタデータ除去の重要性が体感できます。

CTF{strip_metadata_before_publishing_anything}

メタデータの怖さは「無自覚さ」。発信者は気づかないまま、攻撃者には地図を渡している状態です。

🛡️ 防御フェーズ:どう守る?

防御は公開フローの中にメタデータ除去を組み込むのが王道です。PDF は Acrobat の「非表示情報を削除」、Office は「ドキュメント検査」を必ず通し、CI 段階で `exiftool -all= -overwrite_original` を走らせて Author・Comments・Revision を機械的に剥がします。画像は撮影時点で iOS/Android の位置情報共有を切り、公開前に `mat2` などで EXIF をまとめて除去します。社員側のリテラシーも重要で、社内資料のスクショに窓の外の景色やフォルダ階層が映り込まないよう周知し、OSS 活動は会社メールで commit しないルールを敷きます。Maltego を防御側でも回し、自社員の OSINT 痕跡を定期的に棚卸しすると、攻撃者と同じ目線で脆い箇所を潰せます。

🧪 自分で検証ラボを作る

Reconコマンドを安全に試すには、自分専用の検証ラボが一番。🏗️ ConoHa VPSなら月額数百円からLinux環境を立てられ、nmapやgobusterなどのツールを「自分のサーバ」に打ち込んで安全に試せます。

PR / 広告

ConoHa VPS

※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。

⚠️ よくある落とし穴

メタデータの落とし穴は「見えない情報」だからこそ放置されがちです。Word から PDF を書き出しただけでは、コメント・変更履歴・Author が丸ごと残ります。iPhone のデフォルト設定で撮った社員写真には、ほぼ確実に GPS が刻まれます。社内資料のスクショを SNS に上げる際、デスクトップのアイコン配置やタブのファイル名まで写り込み、攻撃者にとっては内部構造の地図そのものです。OSS コミットを会社メールで行えば、社員と業務関与が同時に露呈します。これらは「便利だから」「いつもこうしてるから」で放置されやすく、本人がリスクを自覚していない点が最大の問題です。

  1. IR・採用資料のPDFを「Wordから書き出しただけ」で公開し、authorやコメントが残る。
  2. 社員紹介写真にGPS情報が残る(特にiPhoneのデフォルト)。
  3. 社内資料のスクショをSNSに上げ、ファイル名やフォルダ階層が映り込む。
  4. OSS活動を会社メールでコミットし、業務関与を露呈。
  5. Web会議のスクショ公開時、参加者一覧・サムネイルが見える。
  6. メールシグネチャに直通電話・社員番号を入れる。

🧰 ツール早見表

メタデータ・人物 OSINT は道具の使い分けが成果を決めます。exiftool は画像・PDF・Office を網羅的に扱える事実上の標準で、抽出にも除去にも使えます。Metagoofil と FOCA はサイト全体から文書を一括収集し、Author・PC 名を集計してくれるので、組織構造の推定に便利です。人物追跡には Sherlock で SNS を横断し、Maltego で氏名・メール・ドメイン・電話番号を線で結ぶと、関係性が立体的に見えてきます。画像は Google Reverse・TinEye・Yandex を必ず三点セットで投げ、初出と転載先を比較すると撮影地や本人特定の精度が上がります。学習目的でも、対象は必ず自分の資産や明示的に許可された CTF だけに限定するのが大原則です。

ツール用途ひと言
exiftoolメタデータ抽出/除去の定番画像・PDF・Office対応
Metagoofil / FOCAサイト全体の文書メタ収集旧版だが概念学習に最適
MaltegoOSINT関係性の可視化人物・組織・ドメインを線で結ぶ
SherlockSNSアカウント横断検索ユーザー名から複数SNS探索
Google Reverse / TinEye / Yandex画像逆引き位置・コンテキスト特定

🎓 本気で学びたい人へ

Recon・OSINTを絵空事だけで終わらせず、セキュリティエンジニアをキャリアとして目指したい方に。🎓 ササエルは現場で使えるスキルを体系的に学べるスクールです。

PR / 広告

ササエル

📚 もっと深く学びたい人へ

体系的に攻撃と防御の両面を学びたいなら『ホワイトハッカー入門 第2版』が分かりやすい入口です📚

ホワイトハッカー入門 第2版
Amazon
楽天市場
Yahooショッピング

📚 次に読みたい

✍️ 学んだことを発信する

セキュリティブログを自分で始めたい方へ。🌐 ConoHa WINGなら初期費用無料でWordPressを起こせ、学んだことをアウトプットしていけます。

PR / 広告

ConoHa WING

⚖️ 大事なお約束

Recommend
こちらの記事もどうぞ
記事URLをコピーしました