はじめに
現代の企業調査において、SNS(ソーシャルメディア)は欠かせない情報源です。
公式サイトやプレスリリースが「会社としての顔」だとすれば、SNSは「中の人の素顔」。
しかもその多くは、本人が自発的に公開している情報です。
レッドチームやOSINTの観点では、SNSは以下の点で非常に価値があります。
- 社員名・役職・組織構成を把握できる
- 利用している技術やベンダーを推測できる
- 業務内容や運用状況、時期的な動きを読み取れる
本記事では、主要SNSごとに「何が分かるのか」「どこを見るべきか」を整理します。
なぜSNSが危険になり得るのか
多くのユーザーは、次のような情報を無意識に公開しています。
- 勤務先・部署・役職
- 仕事内容や担当プロジェクト
- 資格取得や技術研修の報告
- オフィス写真、イベント写真
- 出張先や勤務時間帯
これらは単体では問題なく見えても、組み合わせることで意味を持ちます。
SNSにおける最大のリスクは「断片情報の合体」です。
主要SNS別 情報収集ポイント
LinkedIn:最重要プラットフォーム
価値:非常に高い
LinkedInは事実上の「公開社員名簿+組織図」です。
得られる情報
- 社員名、役職、部署、勤務地
- 組織構成やチームの存在
- 使用技術、クラウド、ツール
- 転職・異動・採用動向
特に注目すべきポイント
- IT / Security / Network / SRE / Helpdesk などの職種分布
- Job Posting(求人票)に書かれている技術スタック
- 「◯◯導入」「◯◯移行」などの実績記載
例
ネットワークエンジニアが
「Juniper資格を取得しました!」
→ Juniper製ネットワーク機器が使われている可能性
X(旧Twitter):リアルタイム情報の宝庫
価値:高い(ノイズも多い)
Xは技術者が“つい本音を書きがち”な場所です。
得られる情報
- 障害対応や夜間作業の存在
- 使用ツールやベンダー名
- 出張・イベント・登壇情報
- 運用の雰囲気や忙しさ
特徴
- 情報は断片的だが「今」が分かる
- 障害・移行・トラブルの匂わせが多い
例
「今日はIdP切り替えで地獄」
→ 認証基盤の変更タイミングを推測可能
Facebook:人間関係とコミュニティ
価値:中
Facebookは業務よりも「人と人のつながり」が見えます。
得られる情報
- 社内イベントの写真
- 拠点・地域コミュニティとの関係
- 社員同士のつながり
注意点
- 写真の背景にオフィス情報が写り込みやすい
- 名札、会議室名、掲示物などに要注意
Instagram:写真は情報密度が高い
価値:中〜高(画像OSINT)
Instagramは文章よりも背景情報が主役です。
得られる情報
- オフィス内観
- 使用端末、モニター、ツール画面
- 社内文化やイベントの雰囲気
危険なポイント
- 本人が意識していない写り込み
- ストーリーによるリアルタイム位置情報
一言で言うと
写真は「思い出」、見る側には「データ」です。
SNSを使った情報収集の考え方(OSINT視点)
基本フレーム:People × Tech × Time
- People:誰がいるのか(社員・役職)
- Tech:何を使っているのか(製品・クラウド)
- Time:いつ動いているのか(移行・障害・繁忙期)
この3つが結びついた瞬間、情報の価値は一気に跳ね上がります。
レッドチーム視点での活用例(概念レベル)
※具体的な攻撃手順ではありません。
- 社員情報の把握による組織理解
- 技術スタック推測による防御前提の理解
- 運用タイミングの把握(移行・繁忙期など)
- 報告書での「公開情報リスク」の提示
SNS調査のゴールは侵入ではなく、
「どれだけ情報が外に出ているかを可視化すること」です。
防御側への示唆(Blue Team向け)
SNSは禁止するものではなく、管理するものです。
推奨対策
- SNS投稿ガイドラインの明確化
- 写真投稿時の背景チェック
- 技術スタックの表現を抽象化
- 採用票・広報内容の事前レビュー
- 定期的な軽いセキュリティ啓発
まとめ
SNSは、企業の「人間レイヤー」が最も露出する場所です。
LinkedInで組織が見え、Xで運用が見え、写真で環境が見えます。
そして最大のポイントはこれです。
セキュリティ事故の多くは、高度な攻撃ではなく
「うっかり公開された情報」から始まる
SNSは便利で、楽しく、そして油断しやすい。
だからこそ、OSINTの観点では非常に価値が高いのです。