OSINT(オープンソースインテリジェンス)とは?

OSINT(Open Source Intelligence)は、公開されている情報(オープンソース)を収集・分析して攻撃または防御に活用可能な状態にする手法のことを指します。

主な情報源

  • Webサイト(企業HP、採用ページ、ブログ)
  • SNS(X、LinkedIn、Facebook など)
  • WHOIS情報、DNS情報、SSL証明書
  • Pastebin、GitHub、Shodan などの専門サービス
  • 公開文書(IR資料、業務マニュアル、政府発行資料 など)

これらの情報は誰でも閲覧可能なため、特別なハッキングスキルがなくても収集可能です。

サイバー攻撃におけるOSINTの役割

OSINTは、サイバー攻撃の初期段階(Reconnaissance/偵察フェーズ)で用いられます。
攻撃者は以下のような目的でOSINTを活用します。

1. 標的企業の構成や資産の把握

  • サブドメイン、メールサーバー、クラウド環境の特定
  • 使用しているソフトウェア・バージョンの推測(脆弱性を探る)

2. 標的となる人物の特定

  • 担当部署の人名、役職、メールアドレスの取得
  • SNS投稿から勤務先、業務内容、スケジュールまで把握

3. ソーシャルエンジニアリング攻撃の材料

  • LinkedInの投稿から特定部門に偽装したスピアフィッシング
  • 「最近Azure導入しました」投稿 → Azure管理者を狙った攻撃

OSINTでよく使われるツールとサービス

  1. Shodan
    用途例:インターネットに公開された機器の検索
  2. theHarvester
    用途例:メール・ドメイン・ホスト情報の収集
  3. Recon-ng
    用途例:モジュール式のOSINTフレームワーク
  4. Google Dorks
    用途例:高度な検索演算子を使った情報抽出
  5. Have I Been Pwned
    用途例:アカウント情報漏洩の確認
  6. GitHub / Pastebin
    用途例:漏洩したソースコードや認証情報の検索

⚠ これらのツール自体は合法であり、セキュリティ評価やリスク分析にも活用されます

OSINTがもたらすリスク

OSINTの情報だけでも、以下のような攻撃につながる可能性があります。

  • 標的型メール攻撃(BEC、スピアフィッシング)
  • 脆弱性スキャン → 侵入
  • 認証情報のリスト攻撃(Credential Stuffing)
  • 社内文書や機密資料の外部流出

たとえば、GitHubにうっかりアップロードされた環境設定ファイル(.env)から、クラウドのAPIキーが漏洩し、不正アクセスされる事例も多数あります。

防ぐには?企業が取るべきOSINT対策

1. 定期的な自己診断(セルフOSINT)

  • 自社ドメイン、社員名でGoogle検索やSNSチェック
  • GitHub、Pastebin、Shodanでの自社情報の有無確認

2. 情報公開ポリシーの見直し

  • 不要な技術情報の公開制限(採用ブログ・IR資料など)
  • 社員SNSの情報リテラシー教育

3. ソースコード管理の厳格化

  • 認証情報は絶対にコード内に含めない
  • .gitignoreの適切な運用
  • GitHubの公開範囲を制限

4. OSINT監視サービスの導入

  • Threat Intelligenceサービスによる継続監視
  • SIEMやSOARと連携し、漏洩兆候を早期に検知

まとめ

OSINTは、攻撃者にとっても守る側にとっても強力な武器です。
「公開している情報はリスクになり得る」という視点を持ち、自社・自組織のOSINT面からの露出を把握・管理することが、今後のサイバー防御において不可欠です。

🔍 まずは一度、「自社名」で検索してみましょう。意外な情報が見つかるかもしれません。

関連リンク