OSINTとは

この記事は約 2 分で読めます

OSINT (Open Source Intelligence) とは、一般に公開されている情報源から体系的に情報を収集・分析し、有用なインテリジェンスを導き出す手法です。 SNS の投稿、 WHOIS データベース、 DNS レコード、企業の公開情報、政府の公開データなど、合法的にアクセスできるあらゆる情報が対象になります。サイバーセキュリティの分野では、攻撃者の偵察活動と防御側の脅威インテリジェンスの両面で重要な役割を果たしています。

歴史的背景 - 軍事情報から民間セキュリティへ

OSINT の起源は第二次世界大戦中の米国にあります。 1941 年、米国は Foreign Broadcast Monitoring Service を設立し、敵国のラジオ放送や新聞を体系的に分析しました。冷戦期には CIA や NSA が OSINT を情報活動の柱の一つとして発展させました。インターネットの普及により、 2000 年代以降は民間のセキュリティ企業やジャーナリスト、研究者にも OSINT の手法が広がりました。 2014 年のウクライナ紛争では、市民調査団体 Bellingcat が SNS の写真や衛星画像の分析で軍事行動を特定し、 OSINT の威力を世界に示しました。

情報源の分類

攻撃者の偵察フェーズでの悪用

サイバー攻撃の最初のステップは偵察 (Reconnaissance) です。攻撃者は OSINT を使ってターゲットの情報を収集します。 LinkedIn で従業員の役職やスキルを調べ、スピアフィッシングの標的を選定します。 GitHub の公開リポジトリからうっかりコミットされた API キーや認証情報を探します。 Shodan で公開されたサーバーやデバイスの脆弱性を特定します。企業の求人情報から使用技術スタックを推測し、既知の脆弱性を狙います。ソーシャルエンジニアリングの成功率は、事前の OSINT による情報収集の質に大きく左右されます。

OSINT の偵察プロセス

防御側での活用

OSINT は防御側にとっても強力なツールです。自組織の攻撃面 (Attack Surface) を把握するために、攻撃者と同じ手法で自社の公開情報を調査します。 Have I Been Pwned で従業員のメールアドレスが漏洩データに含まれていないか定期的にチェックし、含まれていればパスワード変更を促します。ダークウェブのモニタリングにより、自社の認証情報や機密データが売買されていないか監視します。デジタルアイデンティティの保護の記事で、個人レベルでの対策も解説しています。

現場での使用例

「ペネトレーションテストの事前調査で OSINT を実施したところ、退職者の LinkedIn プロフィールから社内システムの技術スタックが特定でき、 GitHub の公開リポジトリからテスト用の認証情報が見つかりました。これらは実際の攻撃者も発見できる情報です。」

個人レベルでの OSINT 対策

自分がどれだけの情報を公開しているか把握することが防御の第一歩です。 SNS のプライバシー設定を見直し、不要な個人情報の公開を制限しましょう。写真の EXIF データ (位置情報) を削除してからアップロードする習慣をつけます。プライバシー設定ガイドやソーシャルエンジニアリング対策の記事も参考にしてください。 OSINT の手法と対策を体系的に学びたい方には、OSINT の解説書 (Amazon)が参考になります。