OSINT とは何ですか？

OSINT (Open Source Intelligence) は、SNS の投稿、公開されたウェブサイト、ニュース記事、政府の公開データなど、誰でもアクセスできる公開情報から情報を収集・分析する手法です。元々は政府の諜報活動で使われていましたが、現在は誰でも利用可能なツールが多数存在します。

SNS の写真から自宅の住所が特定されることはありますか？

はい。写真の EXIF データに GPS 座標が含まれている場合、撮影場所が正確に特定されます。主要な SNS はアップロード時に EXIF を削除しますが、ブログやメールで共有した写真には残る場合があります。また、EXIF がなくても背景の建物や看板から場所を特定する「ジオロケーション」手法も存在します。

匿名アカウントでも個人を特定される可能性はありますか？

はい。同じユーザー名を複数のプラットフォームで使用している場合、OSINT ツールで横断検索されます。また、フォロー・フォロワーのパターン、投稿時間帯、文体の特徴などから個人が推測される場合もあります。匿名性を保つには、プラットフォームごとに異なるユーザー名とパスワードを使用し、投稿内容に個人を特定できる情報を含めないことが重要です。

SNS からの OSINT リスク - 写真のメタデータから個人特定される手口と防御

この記事は約 13 分で読めます

投稿する写真、共有するチェックイン、残すコメントの一つ一つが、熟練した調査者があなたの生活の詳細なプロフィールを構築するためのデジタルな痕跡を作り出しています。OSINT (Open Source Intelligence - 公開情報からの情報収集) は、政府の諜報技術からブラウザさえあれば誰でも使えるツールへと進化しました。Digital Shadows の研究チームによる 2024 年の調査では、平均的な SNS ユーザーが無意識に公開している情報だけで、一般的なセキュリティの質問の 80% に回答できることが判明しています。写真の EXIF メタデータから正確な GPS 座標が漏洩するリスクや、投稿パターンから日常の行動パターンが推測されるリスクは、広範囲に及びながらも過小評価されています。本記事では、ソーシャルエンジニアリングの標的に対して使われる具体的な OSINT 手法を分析し、実践的な防御策を解説します。

写真のメタデータが漏らす情報

EXIF データに含まれる位置情報

スマートフォンで撮影した写真には、EXIF (Exchangeable Image File Format) と呼ばれるメタデータが埋め込まれています。EXIF には撮影日時、カメラの機種名、レンズ情報に加え、GPS が有効な場合は緯度・経度が小数点以下 6 桁の精度 (約 11cm) で記録されます。自宅で撮影した料理の写真を SNS に投稿するだけで、自宅の住所が特定される可能性があるのです。2012 年にはセキュリティ研究者が、当時の Instagram の写真から EXIF データを抽出し、ユーザーの自宅住所を特定するデモンストレーションを行いました。現在、主要な SNS (Twitter/X、Facebook、Instagram) はアップロード時に EXIF データを自動的に削除しますが、ブログ、フォーラム、メッセージアプリでの直接共有では EXIF が残る場合があります。

EXIF 以外の画像分析

EXIF データが削除されていても、写真そのものから多くの情報を読み取れます。背景に映り込んだ看板、店舗のロゴ、道路標識、建物の特徴から撮影場所を特定する手法は「ジオロケーション」と呼ばれ、Bellingcat などの調査報道機関が日常的に使用しています。Google ストリートビューや衛星画像との照合により、背景の建物だけで撮影地点を数メートルの精度で特定できるケースもあります。窓に映った景色、影の角度から推定される時刻と方角、電柱の形状による地域の特定など、一見無害な写真から驚くほどの情報が抽出されます。

投稿パターンから読み取れる行動情報

個々の投稿は無害に見えても、長期間の投稿パターンを分析すると驚くほど詳細な行動プロフィールが浮かび上がります。投稿時間帯から起床・就寝時間や勤務時間が推測でき、曜日ごとの投稿パターンから休日が特定できます。定期的なチェックインから通勤経路や行きつけの店が判明し、旅行の投稿から自宅が留守になる期間が特定されます。実際に、空き巣犯が SNS の旅行投稿を監視して犯行に及んだ事例は複数報告されています。英国の調査では、空き巣被害者の 78% が犯行前に SNS で旅行の予定や外出を投稿していたことが判明しています。

SNS からの個人特定の手口

クロスプラットフォーム分析

多くの人は複数の SNS で同じユーザー名やプロフィール写真を使用しています。Sherlock や Maigret といった OSINT ツールは、一つのユーザー名から数百のプラットフォームを横断検索し、同一人物のアカウントを自動的に紐づけます。Twitter では匿名でも、同じユーザー名の Instagram アカウントに実名や顔写真が公開されているケースは珍しくありません。プロフィール写真の逆画像検索 (Google Images、TinEye、PimEyes) により、異なるプラットフォーム間でアカウントを紐づけることも可能です。PimEyes は顔認識技術を使い、インターネット上の顔写真を検索するサービスで、1 枚の顔写真から SNS プロフィール、ニュース記事、ブログなどを横断的に発見できます。

ソーシャルグラフ分析

友人リスト、フォロー・フォロワー関係、タグ付けされた写真、共通の友人などの「ソーシャルグラフ」は、個人の社会的ネットワークを可視化します。匿名アカウントであっても、フォローしている人やフォロワーのパターンから所属組織や居住地域を推測できる場合があります。特定の企業の従業員を複数フォローしていれば、その企業の関係者である可能性が高いと判断されます。Facebook の「共通の友人」機能は、ターゲットの交友関係を効率的にマッピングするために悪用されることがあります。スピアフィッシング攻撃では、ターゲットの友人関係を事前に調査し、信頼できる人物になりすましてメッセージを送る手口が使われます。

実践的な防御策

メタデータの削除と管理

写真を SNS 以外のプラットフォーム (ブログ、フォーラム、メール) で共有する前に、EXIF データを削除する習慣をつけてください。iPhone では「設定」→「プライバシーとセキュリティ」→「位置情報サービス」→「カメラ」で位置情報の記録を無効にできます。Android では「カメラ」アプリの設定から「位置情報タグ」をオフにします。既に撮影済みの写真からメタデータを削除するには、Windows では「プロパティ」→「詳細」→「プロパティや個人情報を削除」、macOS では「プレビュー」アプリの「ツール」→「インスペクタを表示」→「GPS」タブから位置情報を削除できます。コマンドラインツールの ExifTool を使えば、一括でメタデータを削除することも可能です。

SNS のプライバシー設定の最適化

各 SNS のプライバシー設定を定期的に見直してください。Facebook では「設定」→「プライバシー」で投稿の公開範囲を「友達のみ」に制限し、「プロフィールの検索」を制限します。Instagram ではアカウントを非公開に設定し、ストーリーの共有範囲を「親しい友達」に限定できます。Twitter/X では「設定」→「プライバシーと安全」で位置情報の付与を無効にし、ダイレクトメッセージの受信を制限します。重要なのは、プライバシー設定は SNS のアップデートで変更されることがあるため、3 ヶ月に 1 回は設定を確認する習慣をつけることです。プライバシー設定ガイドも参照してください。

SNS アカウントの包括的な保護についてはSNS アカウント保護を参照してください。OSINT の手法と防御について深く学ぶには、OSINT とプライバシー保護の解説書 (Amazon)が参考になります。

アカウント分離とデジタルフットプリントの最小化

OSINT 対策の根本は、公開情報の量を減らすことです。実名アカウントと匿名アカウントを明確に分離し、匿名アカウントでは実名アカウントと異なるユーザー名、プロフィール写真、メールアドレスを使用してください。パスつく.com で各アカウントに固有のパスワードを生成すれば、パスワードの使い回しによるアカウント間の紐づけも防げます。過去の投稿を定期的に見直し、不要な個人情報を含む投稿は削除またはアーカイブしましょう。Google の「アクティビティ管理」で検索履歴やロケーション履歴の自動削除を設定し、デジタルフットプリントを継続的に縮小することが重要です。

まとめ

SNS は便利なコミュニケーションツールですが、公開情報の蓄積は OSINT による個人特定のリスクを高めます。写真のメタデータ、投稿パターン、クロスプラットフォームでのアカウント紐づけ、ソーシャルグラフ分析など、攻撃者が利用する手法は多岐にわたります。完全な匿名性を実現するのは困難ですが、メタデータの削除、プライバシー設定の最適化、アカウントの分離、投稿前の情報チェックを習慣化することで、リスクを大幅に低減できます。

今すぐできること

スマートフォンのカメラ設定で位置情報の記録をオフにする (iPhone: 設定 → プライバシー → 位置情報サービス → カメラ)
各 SNS のプライバシー設定を見直し、投稿の公開範囲を「友達のみ」に制限する
パスつく.com で SNS ごとに固有のパスワードを生成し、アカウント間の紐づけを防ぐ
過去の投稿を見直し、住所・勤務先・日常の行動パターンが推測できる投稿を削除またはアーカイブする

よくある質問

OSINT とは何ですか？: OSINT (Open Source Intelligence) は、SNS の投稿、公開されたウェブサイト、ニュース記事、政府の公開データなど、誰でもアクセスできる公開情報から情報を収集・分析する手法です。元々は政府の諜報活動で使われていましたが、現在は誰でも利用可能なツールが多数存在します。
SNS の写真から自宅の住所が特定されることはありますか？: はい。写真の EXIF データに GPS 座標が含まれている場合、撮影場所が正確に特定されます。主要な SNS はアップロード時に EXIF を削除しますが、ブログやメールで共有した写真には残る場合があります。また、EXIF がなくても背景の建物や看板から場所を特定する「ジオロケーション」手法も存在します。
匿名アカウントでも個人を特定される可能性はありますか？: はい。同じユーザー名を複数のプラットフォームで使用している場合、OSINT ツールで横断検索されます。また、フォロー・フォロワーのパターン、投稿時間帯、文体の特徴などから個人が推測される場合もあります。匿名性を保つには、プラットフォームごとに異なるユーザー名とパスワードを使用し、投稿内容に個人を特定できる情報を含めないことが重要です。

この記事は役に立ちましたか？

パスワードを生成する →