🔎 第14章:OSINT実践編
こんにちは、守山しずくです🌸
今回は、誰でもアクセスできる“公開情報”を活用して、情報を収集・分析する技術「OSINT(Open Source Intelligence)」を実際に体験してみましょう!
🌐 OSINTとは?
OSINT(オシント)は、「Open Source Intelligence(オープンソース・インテリジェンス)」の略で、 誰でも見られる情報から有益な情報を収集する技術 です。
- 検索エンジン
- SNS
- 企業のWebサイト
- GitHubやPastebinなどの投稿
- ニュースや公開レポート
こういった“公開されている情報”を使って、個人や組織の動向、技術、漏洩情報などを調査できます。
💡 OSINTの活用例
- 企業の利用技術やサーバー構成を推測
- メールアドレスや社員の名前を特定
- 漏洩したID/パスワードの有無を確認
- SNSの投稿から勤務先や位置情報を割り出す
🛠️ 使えるテクニック&ツール
1. Google検索(Dorking)
検索演算子で 非公開にすべき情報 を探せます。
例:
site:example.com ext:env
intitle:"index of" password
2. SNSアカウント調査
- Twitterのユーザー名から過去ツイート・画像・位置情報
- Instagramのタグやメンションから交友関係や生活圏を推定
- 過去に削除した投稿もアーカイブに残っている場合あり
3. ドメイン&IP調査
- WHOIS:登録者情報、作成日、メール
- DNSレコード:MX、A、CNAMEからサービス推測
- Shodan.io:公開サーバーやサービスの探索
4. GitHub / Pastebin / Speaker Deck
- ソースコードに認証情報が残っていることも…
- エンジニアのプロフィールやスライド資料から社内情報が漏れているケースもあり!
🔐 OSINTの注意点
-
情報が公開されている=使っていい ではありません
プライバシーや利用規約に反しない範囲で行いましょう -
得た情報の信頼性を常に検証すること
古い・間違った・なりすましの可能性もあります -
実際の攻撃には絶対に使わないこと!
🧪 実践ミニ課題(自分でやってみよう!)
- 自分の名前やメールアドレスで検索してみよう
- Twitterで自分の過去の投稿を検索演算子で抽出してみよう
- GitHubにうっかり上げている“設定ファイル”はないか見直そう
学びは、まず自分を守るところから!
✅ まとめ
- OSINTは“公開情報”から価値ある情報を収集する技術
- SNS、検索、ドメイン情報、GitHubなどが対象
- 攻撃者視点で見ることで守る意識も高まる
- 情報の扱いにはモラルと法的配慮を忘れずに!
次回は、 「第15章:実践CTF攻略テクニック」 です🎯
CTFで「詰まった…」を乗り越えるためのコツや考え方、役立つコマンドなどをご紹介します!
💬 フォローしてくれたら、楽しく安全なセキュリティ学習を毎日お届けします♪