MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。
CTF・セキュリティ学習

【メタデータ・人物OSINT編】画像・文書・SNSから人と組織を辿る|CTF思考フレームワーク R08

かも次郎とアンペンが「メタデータ・人物OSINT」を解説するマスコットイラスト
安全に生きたい編集部

こんにちは、アンペンです!偵察ルートR08はメタデータ・人物編。画像のExif・文書のプロパティ・SNSの投稿に残る『中身以外の情報』を読み解き、撮影場所や作成者を割り出すOSINTの作法を扱います。倫理が最も問われる回なので、線引きも一緒に確認します。

ファイルには、本文や絵柄とは別に、“見えない署名”のような情報がくっついています。いつ、どの機材で、誰が作ったか——それが今回のテーマ『メタデータ』です。便利な反面、無意識のうちに自分の居場所や本名を世界に晒してしまうこともある。だからこの回も、練習はあくまで“自分の情報”で。実在の他人を追いかけるのは、技術ではなくストーキング——この一線を、最初にしっかり握っておいてください。

写真をSNSに上げるだけで、家がバレるって本当?

条件が揃えば本当にある。写真にはExifという撮影メタが埋まっていて、位置情報ONならGPS座標まで入る。多くのSNSは除去するけど、原本配布や一部サービスでは残る。だから投稿前のメタ除去が大事なんだ。

まず結論

メタデータとは「ファイルの中身以外に付随する情報」。画像のExif(撮影日時・GPS座標・機種)、文書のプロパティ(作成者名・組織・編集履歴・隠しテキスト)、SNS投稿の時刻・背景・タグから、いつ・どこで・誰が、が立ち上がる。万能ツールはexiftool。人物OSINTはハンドルの使い回しを起点にピボット(Sherlock等)。ただし実在個人の追跡はストーキングと紙一重で厳禁——CTF・自分の情報点検・許可された調査に限る。守る側は『投稿前にメタ除去+位置情報は必要時のみ+文書はドキュメント検査+ハンドルを使い回さない』

この記事で分かること

  • メタデータの3系統(画像Exif/文書プロパティ/SNS痕跡)
  • GPS座標やTrack Changesから何が分かるか
  • exiftool/pdfinfo/oletools/mat2の役割
  • 人物OSINTのピボットと、越えてはいけない倫理の線
  • 守る側の「痕跡を残さない」チェックリスト
難易度:初〜中級 所要時間:11分 体験:自分のファイルを点検 おすすめ:R07の後

📖 はじめてのWebセキュリティR08|メタデータ・人物編
画像・文書・SNSに残る痕跡を読み、自分の露出を点検する。 シリーズ一覧を見る →

⚠️ 大事なお約束
実在する他人を特定・追跡する行為はストーカー規制法・プライバシー侵害に直結します。本記事の手法は自分自身の情報点検・CTF・書面で許可された調査に限定してください。「できる」と「やってよい」は全く別です。

Contents
  1. メタデータの3系統
  2. なぜ「中身以外」が雄弁なのか
  3. 人物OSINT:点を線にするピボット
  4. CTFでやってみよう:自分の痕跡を点検
    1. 「自分が無意識に漏らしている痕跡」を棚卸しする
  5. 守る側:痕跡を残さない
  6. まとめ:『裏側を読む』技術と倫理
  7. 次に読みたい記事
  8. 参考資料

メタデータの3系統

  • ①画像のExif:撮影日時・GPS座標(緯度経度)・カメラ機種/シリアル・撮影設定。位置情報ONのスマホ写真が最も危険
  • ②文書のプロパティ:作成者名・組織名・作成/編集日時・使用ソフトとバージョン・変更履歴(Track Changes)・隠しテキスト・テンプレ由来の社内パス
  • ③SNSの痕跡:投稿時刻(生活リズム)・背景(表札・制服・看板)・位置タグ・相互フォロー(人間関係)

3つを一言でまとめると、画像は『どこで撮ったか』、文書は『誰が作ったか』、SNSは『どんな生活か』を漏らします。とくに要注意は、画像のGPS座標と、文書の“変更履歴”。前者は家を、後者は『社外に出す前の本音コメント』を、そのまま外へ運んでしまう。どれも“中身”ではなく“付帯情報”なので、本人が気づきにくいのが厄介なところです。

画像Exif・文書プロパティ・SNS痕跡の3系統と、exiftoolで読み解く図
図1:メタデータの3系統(画像/文書/SNS)

ここで覚える用語:ExifとGPSタグ
意味:Exif(Exchangeable image file format)は画像に埋め込まれる撮影メタデータの規格。日時・機種・設定に加え、GPS座標が入ることがあります
例:位置情報ONのスマホで自宅を撮影→ExifにGPS緯度経度→exiftool 写真.jpgで座標が表示され、地図に貼れば家が特定できる。
使いどころ:多くのSNSはアップ時にExifを除去しますが、原本のメール添付・クラウド共有・一部サービスでは残ります。守る側は投稿前にmat2等で確実に除去するのが鉄則です。

なぜ「中身以外」が雄弁なのか

✉️ たとえるなら、手紙の消印と便箋

手紙は本文(=ファイルの中身)だけが情報ではありません。消印(=撮影日時)でいつ出したか、便箋の透かし(=作成ソフト)でどこの製品か、筆跡や折り目(=機材の癖)で書いた人の習慣まで読めてしまう。封筒の裏側に至るまで「中身以外の情報」が雄弁に語るのです。写真や文書もまったく同じで、見えている絵柄や文章の裏に、撮影者・編集者・場所・時刻という大量の付帯情報が貼りついています。OSINTはこの『裏側』を丁寧に読む技術です。

手紙の消印・透かし・筆跡が本文以外の情報を語るたとえイラスト
図2:中身以外が雄弁に語る=メタデータ

ここまでは『ファイル』が漏らす情報の話でした。ここからは少し角度を変えて、『人』をたどるOSINTに踏み込みます。ただ——ここからは技術の話と同じくらい、いや、それ以上に“倫理”が重くなります。同じ手口が、自分に向ければ自己点検、他人に向ければ加害になる。だから読み進める前に、もう一度だけ深呼吸して、『これは自分の露出を点検するための知識だ』と、心に置いておいてください。

人物OSINT:点を線にするピボット

人物に関するOSINTの肝はピボット——一つの手がかりから別の情報源へ横展開することです。とくにハンドル名の使い回しが典型的なピボット点で、珍しい名前ほど芋づる式につながります。ただしここから先は倫理の崖が待っています。

なぜ『倫理の崖』なのか、はっきり言葉にします。ハンドル名から複数のアカウントをつなぎ、投稿の背景から生活圏を割り出す——この一連の作業は、相手が“自分”なら自己点検ですが、相手が“実在の他人”になった瞬間、ストーキングそのものに変わります。技術的に『できる』ことと、法的・倫理的に『やってよい』ことは、まったくの別物。少しでも『これ大丈夫かな』とよぎったら、そこが崖の縁です。迷わず引き返してください。

ここで覚える用語:ピボット(Pivoting)とハンドルの使い回し
意味:ピボットは一つの情報から別の情報源へ調査を横展開する動作。人物OSINTでは「同じハンドル名を複数サービスで使っている」ことが格好の足がかりになります。
例:珍しいハンドルxyz_uniqueSherlock/WhatsMyNameで検索→Twitter・GitHub・Redditの同名アカウントが一覧化される。
使いどころ:点を線にするのがOSINTですが、対象が実在の他人ならそこで止めるのが鉄則。守る側はアカウントごとに名前・アイコンを変え、ピボットの鎖を断ち切ります。

CTFでやってみよう:自分の痕跡を点検

やってみよう / 自分の情報・学習のみ

「自分が無意識に漏らしている痕跡」を棚卸しする

対象はすべて自分自身の情報です。攻撃者が読む順で、自分の露出を先回りで点検します。各ステップに「なぜやるか」を添えました。

  1. 自分のスマホ写真をexiftool 写真.jpgでGPS/日時確認 → なぜ:位置情報が埋まる実感を持つため
  2. SNSにアップした自分の画像をDLしてメタが残るか確認 → なぜ:サービスごとの除去有無を知るため
  3. 自作のWord/PDFをexiftool/pdfinfoで作成者名確認 → なぜ:本名・社名が残りがちだから
  4. Office文書の変更履歴・隠しテキストを点検 → なぜ:配布前の消し忘れを発見するため
  5. 自分のハンドル名をSherlock/WhatsMyNameで検索 → なぜ:使い回しの露出範囲を把握するため
  6. 自分のプロフィール写真を逆画像検索 → なぜ:同じ写真が他で使われていないか確認するため
  7. mat2 写真.jpgで投稿前のメタ除去を実践 → なぜ:公開前の標準作法を身につけるため
  8. 自分のGitHubコミットのAuthor email/名前を確認 → なぜ:コードにも人物メタが残るから(R07と接続)
対象は必ず自分の情報・CTFのみ。実在の他人を特定・追跡しないこと。「できる」と「やってよい」は別です。

では、ここまでの知識を“自分を守る”側に丸ごと振り向けましょう。攻撃者がメタデータのどこを読むのかを知っていれば、出す前にそこを消しておけばいい。守りは、攻めの裏返しなんです。次のチェックリストは、画像・文書・SNS・ハンドルの4方向から、その“見えない署名”を一つずつ消していく、自衛のための手順をまとめたものです。

守る側:痕跡を残さない

メタデータ漏えい対策チェックリスト
  • 画像は投稿前にメタ除去:mat2等。SNSの自動除去を過信しない
  • 位置情報は必要時のみON:スマホのカメラ位置情報を既定でOFFに
  • 文書は配布前にドキュメント検査:変更履歴・隠しテキスト・プロパティを削除
  • 作成者名を一般化:テンプレートの本名・組織名を汎用名に
  • ハンドル・アイコンを使い回さない:ピボットの鎖を断つ
  • 写真の背景に注意:表札・制服・看板・郵便物など位置が分かる物を写さない
  • GitHubのcommit emailをnoreply化:本名・私用アドレスを残さない
  • 社内文書のメタ標準化:配布前の自動クリーニングをポリシー化(FOCA対策)

リストが多くて気後れするかもしれませんが、全部を完璧にやる必要はありません。まずは一番効く2つ——『写真の位置情報をオフにする』と『文書は配布前にプロパティを消す』——から始めれば十分です。あとは気づいたときに、一つずつ足していけばいい。“見えない署名”は、消した数だけ確実に、あなたの安全度を上げてくれます。

メタ除去・位置情報OFF・ドキュメント検査・ハンドル分離・背景注意の守り側チェックリスト図
図3:痕跡を残さない守り側チェックリスト

「できる」と「やってよい」は別…肝に銘じるよ。

その姿勢が一番大事。技術より倫理が先だよ。次はR09、クラウド資産編。S3バケットやコンテナレジストリ、メタデータサービスといった『クラウド特有の入口』を扱うよ。

まとめ:『裏側を読む』技術と倫理

今回のポイント
  • メタは画像Exif・文書プロパティ・SNS痕跡の3系統
  • ExifのGPS座標と文書の変更履歴がとくに危険
  • 人物OSINTはハンドル使い回しを起点にピボット
  • 実在他人の追跡は厳禁(できる≠やってよい)
  • 守りはメタ除去・位置情報OFF・ドキュメント検査・名前を使い回さない

今日の持ち帰りは、技術と倫理の2つです。技術面では『ファイルも人も、中身以外が雄弁に語る』。倫理面では『その力は、まず自分を守るために使う』。メタデータを読む目を持つと、自分がどれだけ無防備に痕跡を撒いていたかに気づけます。その気づきを“自衛”に変えること——それが、この回のいちばんの目的です。

次はR09、クラウド資産編。オンプレとは違う「クラウド特有の攻撃面」を読み解きます。

次に読みたい記事

NEXT / R09 クラウド資産編|S3・ECR・メタデータサービスの入口 → PREVIOUS / R07 GitHub偵察編|コミット履歴に眠るシークレットを掘る →

参考資料

📚 CTF・セキュリティ学習ハブへ戻る →
Recommend
こちらの記事もどうぞ
記事URLをコピーしました