要旨
スピアフィッシング(標的型フィッシング)は、全メール量の 0.1% 未満に過ぎないにもかかわらず、全セキュリティ侵害の 66% の起点になっています[1]。その高い成功率を支えているのが OSINT(Open Source Intelligence:公開情報収集)です。攻撃者は LinkedIn・企業サイト・SNS・求人情報・GitHub といった誰でも閲覧できる情報から、標的のプロファイルを精密に構築します。IBM の「Cost of a Data Breach Report 2025」によれば、フィッシングに起因するデータ侵害の平均コストは 480 万ドルにのぼります[1]。本記事では、攻撃者が OSINT をどのように使って標的を選定・研究し、精巧なソーシャルエンジニアリング攻撃を構築するのかを技術的に解説し、防衛側がとるべき視点を論じます。
記事本文
1. OSINT とは何か——「誰でも使える」ことが最大の脅威
OSINT(Open Source Intelligence:オープンソースインテリジェンス)とは、一般に公開されている情報から収集・分析して得られる知見の総称です[2]。元来は軍・国家安全保障の諜報分野で使われた手法ですが、現在はサイバーセキュリティの攻守両面で中心的な役割を担っています[3]。
OSINT が本質的に危険な理由は、その「オープン性」にあります。ペネトレーションテスターも、Red Team エンジニアも、そして犯罪者も、全員が同じ情報にアクセスできます。企業が採用サイトに掲載した求人情報、従業員が LinkedIn に投稿した職歴、GitHub に残ったコメント、プレスリリースに書かれた役職名——これらはすべて攻撃者の「偵察データベース」になりえます[4]。
CrowdStrike は OSINT について「サイバー犯罪者がソーシャルエンジニアリング攻撃をカスタマイズするために被害者候補の個人情報を収集するために使う最も一般的な手法の一つ」と位置づけています[5]。
2. 攻撃の全体フロー——OSINT は「偵察」フェーズに位置する
OSINT を活用した標的型攻撃は、Lockheed Martin が提唱したサイバーキルチェーンの第 1 フェーズ「偵察(Reconnaissance)」に相当します[6]。この偵察フェーズの質が、以降の全フェーズの成否を決定づけます。
サイバーキルチェーンとOSINTの関係:
① 偵察(Reconnaissance)← OSINTが最も活用されるフェーズ
│ 標的の選定・組織構造の把握・攻撃対象の人物プロファイリング
↓
② 武器化(Weaponization)
│ 偵察結果を元にフィッシングメール・マルウェアを作成
↓
③ デリバリー(Delivery)
│ スピアフィッシングメール・LinkedIn DM・SNS経由で送付
↓
④ 攻撃(Exploitation)
│ 添付ファイルの実行・認証情報の入力誘導
↓
⑤ インストール(Installation)
│ マルウェア・バックドアの設置
↓
⑥ 遠隔操作(C2:Command & Control)
↓
⑦ 目的の実行(Actions on Objectives)
│ データ窃取・ランサムウェア展開・横展開
攻撃者が偵察フェーズに投資する時間は、APT グループの場合数週間から数ヶ月に及ぶことがあります[4]。精度の高い偵察が、成功率 35% のスピアフィッシングを生み出します(通常のフィッシングの成功率は 3%)[1]。
3. 攻撃者が使う OSINT の情報源カタログ
攻撃者が実際にどこから情報を収集するのかを体系的に整理します。これを「攻撃者目線」で把握することが、防衛側の第一歩です。
3-1. 企業の公式情報
情報源 攻撃者が得る情報
─────────────────────────────────────────────────────────────
企業 Web サイト 組織図・役職名・代表メールアドレス・使用技術
採用ページ・求人票 技術スタック(使用OS・ミドルウェア・クラウド基盤)
部門構成・担当者の業務内容・セキュリティ体制のヒント
プレスリリース 取引先・提携企業・プロジェクト名・経営幹部の名前
決算報告書・IR 財務状況・重要プロジェクト・M&A 情報
求人票は特に危険な情報源です。「AWS・Azure・Active Directory を使った環境の保守」といった記載は、攻撃者に対して「この会社のクラウド基盤は AWS と Azure、AD で認証管理している」という内部構成の情報を与えます[4]。
3-2. SNS・プロフェッショナルネットワーク
情報源 攻撃者が得る情報
─────────────────────────────────────────────────────────────
LinkedIn 氏名・役職・職歴・学歴・スキル・人間関係
「○○プロジェクト担当」「△△部長の直轄チーム」
X(旧 Twitter) 業務上の発言・利用ツール・勤務状況・個人的な趣味
Facebook プライベートの情報・家族構成・所在地・友人関係
GitHub コード内のコメント・API キー・内部 URL・メールアドレス
コミット履歴からエンジニアの業務内容を把握
LinkedIn は攻撃者にとって最も価値のある情報源の一つです[1]。「田中部長から送られてきたような」メールを作るために必要な情報——氏名・役職・担当プロジェクト・部下の名前——のすべてが、公開プロフィールから入手できます[4]。
3-3. 技術的な公開情報
情報源 攻撃者が得る情報
─────────────────────────────────────────────────────────────
Shodan / Censys 企業が公開しているサーバー・IoT 機器・バージョン情報
脆弱なポート・古い TLS バージョン・デフォルト認証情報
WHOIS ドメイン登録者・メールアドレス・登録日
DNS 情報 サブドメイン・MX レコード・メールサーバーの構成
Google ハッキング 誤って公開されたドキュメント・ログインページ・設定ファイル
(Google Dorks)
Have I Been Pwned 流出済みのメールアドレス・パスワードハッシュ
Wayback Machine 削除されたページ・過去のコンテンツの復元
3-4. ダークウェブ・アンダーグラウンド
情報源 攻撃者が得る情報
─────────────────────────────────────────────────────────────
データリーク販売 過去の漏洩事件で流出した認証情報(メール+パスワード)
犯罪フォーラム 標的企業の従業員の認証情報・内部文書
Telegram グループ 攻撃ツール・フィッシングキットの共有
Initial Access 企業ネットワークへの侵害済みアクセスの売買
Broker(IAB)
4. OSINT ツール——攻撃者が使うツールを防衛側が理解する
攻撃者が偵察に使うツールは、同時に防衛側が「自社がどれだけ見えているか」を確認するためのツールでもあります。
4-1. theHarvester——メール・サブドメインの大量収集
# 基本的な使い方
# Kali Linux にプリインストール済み
# Google・Bing・LinkedIn・Shodan など30以上のソースから一括収集
theharvester -d target-company.com -b all -l 500
# 特定のソースから収集
theharvester -d target-company.com -b google,linkedin,shodan
# 主な出力:
# - メールアドレス(例:yamada.taro@target-company.com)
# - サブドメイン(例:dev.target-company.com, internal-api.target-company.com)
# - IP アドレス・ホスト名
# - バナー情報
# 出力をファイルに保存
theharvester -d target-company.com -b all -f output.html
発見されたメールアドレスのパターン(名.姓@ドメイン 形式など)から、未確認の社員のメールアドレスを推測することも可能です[7]。
4-2. Shodan——「ハッカーのための検索エンジン」
# Shodan CLI のインストール
pip install shodan
shodan init YOUR_API_KEY
# 企業のIPレンジに属するデバイスを検索
shodan search "org:TargetCompany"
# 特定の製品・バージョンで絞り込み
shodan search "org:TargetCompany product:Apache"
# 古い TLS バージョンが動いているサーバーを探す
shodan search "org:TargetCompany ssl.version:tlsv1"
# デフォルト認証情報が残っているデバイスを探す
shodan search "org:TargetCompany default password"
# Shodan Web UI での Google Dorks 的な活用:
# port:3389 org:"TargetCompany" → RDP が公開されているサーバー
# port:22 org:"TargetCompany" → SSH が公開されているサーバー
# port:445 org:"TargetCompany" → SMB が公開されているサーバー(PrintNightmare 等の対象)
Shodan は 2025 年に AI アシスト検索機能を追加し、自然言語でのクエリが可能になっています[8]。
4-3. Maltego——関係性の可視化
Maltego は収集したエンティティ(人物・ドメイン・IP・組織)の関係性をグラフで可視化するリンク分析ツールです[9]。個別のデータを「点」として可視化するのではなく、点と点の「繋がり」を明らかにすることで、攻撃者は組織の全体像を掴みます。
Maltego で可視化できる関係性の例:
ドメイン → サブドメイン → IP アドレス → ASN → ホスティング会社
↓
メールアドレス → 人物 → LinkedIn プロフィール → 役職 → 組織
↓
Have I Been Pwned → 漏洩済みパスワード → 他サービスへのパスワード使い回し
4-4. Recon-ng——フレームワーク型偵察
# Recon-ng の起動(Kali Linux にプリインストール)
recon-ng
# ワークスペースの作成
workspaces create target_company
# モジュールの検索・ロード・実行
modules search hackertarget
modules load recon/domains-hosts/hackertarget
options set SOURCE target-company.com
run
# WHOIS 情報の収集
modules load recon/domains-contacts/whois_pocs
options set SOURCE target-company.com
run
# 収集したデータのレポート出力
modules load reporting/html
options set FILENAME /tmp/report.html
run
4-5. Google Dorks——検索エンジンを偵察ツールに変える
Google の高度な検索演算子(Google Dorks)を使うと、意図せず公開されたファイル・設定ファイル・ログインページを発見できます[4]。
# 特定ドメインの PDF 文書を検索(社内文書が誤公開されていないか)
site:target-company.com filetype:pdf "社外秘"
site:target-company.com filetype:xlsx "password"
# ログインページを探す
site:target-company.com inurl:login
site:target-company.com inurl:admin
# 設定ファイルの誤公開を探す
site:target-company.com filetype:env
site:target-company.com filetype:conf
# GitHub でのコード内の機密情報を探す
site:github.com "target-company.com" "password"
site:github.com "target-company.com" "api_key"
site:github.com "target-company.com" "AWS_SECRET"
5. OSINT から標的型攻撃への連鎖——具体的な攻撃シナリオ
OSINT で収集した情報がどのように標的型攻撃に変換されるか、具体的なシナリオで示します。
シナリオ1:CFO を装ったビジネスメール詐欺(BEC)
【偵察フェーズ(OSINT)】
Step 1:企業サイト・LinkedIn から経営幹部の情報を収集
→ CFO:田中一郎氏(LinkedIn で確認)
→ 経理担当:鈴木花子氏(採用ページの部門紹介で確認)
→ 取引先:○○商事(プレスリリースで確認)
Step 2:theHarvester でメールアドレスのフォーマットを推測
→ tanaka.ichiro@target-company.com
→ suzuki.hanako@target-company.com
Step 3:Shodan でメールサーバーの構成を確認
→ Microsoft 365 を使用(MX レコードから判明)
→ DMARC 設定が弱い(p=none:なりすまし検知のみで遮断なし)
【攻撃フェーズ】
Step 4:鈴木花子氏への標的型メール送信
送信者:田中一郎 <tanaka.ichiro@target-c0mpany.com>(0とoを入れ替え)
件名:【至急】○○商事への送金処理について
本文:今月の決算処理で急ぎ○○商事への振込が必要になりました。
本件は私から直接依頼しているため、上長への確認は不要です。
以下の口座に今日中に振込をお願いします。(攻撃者の口座)
成功率:IBM 2025 によれば BEC の平均被害額は 467 万ドル[1]
シナリオ2:エンジニアへのマルウェア送付
【偵察フェーズ(OSINT)】
Step 1:GitHub でエンジニアのコードを分析
→ プロジェクト名・使用ライブラリ・コミット習慣を把握
→ コード内のコメントから内部 URL やメールアドレスを発見
Step 2:LinkedIn でスキルセット・使用ツールを確認
→ Python・Docker・AWS を使っていることが判明
→ 最近「Kubernetes の勉強中」と投稿
Step 3:GitHub に残った内部 API URL を Shodan で確認
→ dev.internal.target-company.com:8080 が公開状態
【攻撃フェーズ】
Step 4:Kubernetes 関連の「偽OSSライブラリ」送付
→ 「Kubernetes の設定に役立つライブラリを作りました。
GitHubスターお願いします」というメール
→ インストールするとバックドアが仕込まれたパッケージを実行
→ MITRE ATT&CK T1195(サプライチェーン攻撃)+ T1566(フィッシング)の複合
シナリオ3:AI が自動生成するスピアフィッシング(2025 年以降の現実)
2025 年の Verizon DBIR によると、ユーザーがフィッシング攻撃に引っかかるまでの平均時間は 30 秒未満です[1]。AI を使ったスピアフィッシングの成功率は 54%(従来型の 12% と比較)に達しており、IBM 2025 レポートでは全侵害の 37% に AI 生成フィッシングが関与しています[1]。
AI を使ったスピアフィッシング自動化のフロー:
1. OSINT ツールで標的のプロファイルデータを自動収集
(LinkedIn・SNS・企業サイト・GitHub を横断的にスクレイピング)
↓
2. LLM(大規模言語モデル)にプロファイルを渡して
メール本文を自動生成
「田中さんの最近の投稿から、Kubernetes の勉強中であることを踏まえ、
本物らしい技術相談メールを生成してください」
↓
3. 生成されたメールを自動送信
→ 偵察から攻撃まで数時間以内に完了(従来は数週間)
この自動化により、偵察コストが劇的に低下し、かつてはごく限られた国家支援グループだけが実施できた標的型攻撃が、一般的なサイバー犯罪グループでも実施可能になっています[5]。
6. 防衛側の視点——「攻撃者が自社をどう見ているか」を定期的に確認する
6-1. 自社の OSINT フットプリントの棚卸し
防衛の第一歩は「攻撃者目線で自社を見ること」です[6]。以下のチェックは、社内の Red Team やペネトレーションテストの一部として定期的に実施することが推奨されます。
# ─── 自社ドメインの OSINT チェック ───
# 公開されているメールアドレスを収集
theharvester -d your-company.com -b all -f osint_report.html
# Shodan で公開されているサーバーを確認
shodan search "org:Your Company"
# → 想定外の公開サービスが見つかったら即時対応
# WHOIS 情報の確認(個人情報が入っていないか)
whois your-company.com
# Google Dorks で誤公開されたファイルを確認
# site:your-company.com filetype:pdf
# site:your-company.com filetype:xlsx
# site:github.com "your-company.com" "password"
6-2. 技術的対策
【メール認証の強化(OSINT で収集した情報を使ったなりすまし対策)】
DMARC(ポリシーを p=reject に)
→ なりすましメールを受信側で自動拒否
→ p=none(監視のみ)では防げない
DKIM(デジタル署名)
→ メールの送信元が正規のサーバーであることを証明
SPF(送信可能なサーバーを明示)
→ 承認外のサーバーからのメールを拒否
BIMI(ブランド指標メッセージ識別)
→ メールクライアントにブランドロゴを表示し視覚的に正規性を証明
【技術スタックの情報管理】
求人票から技術構成が読み取られないよう、
使用技術の詳細記載は最小限に留める。
GitHub に API キー・内部 URL・パスワードを
コミットしないよう、git-secrets / truffleHog を CI に統合する。
【Shodan / Censys で露出している資産の定期監査】
ASM(Attack Surface Management)ツールを導入し、
意図せず公開されたサービスを継続的にモニタリングする。
6-3. 人的対策——「騙されにくい文化」の設計
技術対策だけでは OSINT を使った精巧なスピアフィッシングを防ぎきれません。APT 攻撃の 70% がスピアフィッシングから始まることを踏まえると[1]、人的な防衛レイヤーが不可欠です。
【実効性のある人的対策】
1. 標的型メール訓練(年 4 回以上)
→ 実際の OSINT を使ったパーソナライズドフィッシングで訓練する
→ 「見破りにくい」ものを使うことで現実のリスク感覚を育てる
2. コールバック検証の文化の醸成
→ 送金・情報提供を求めるメールには、
既知の番号/手段で折り返し確認することを義務化
3. ソーシャルメディア投稿の自己管理ガイドラインの策定
→ 「業務で使用しているツール・システム」を
SNS に投稿しないルールを明確化
→ LinkedIn の職歴欄に「○○プロジェクトで AWS Lambda を実装」
という投稿が技術スタックを露出させていることを全社で共有
4. セキュリティインシデントの報告文化
→ 「怪しいメールを受け取った」の報告を
罰則ではなく賞賛で扱う文化の設計
7. 防衛チェックリスト
【OSINT フットプリントの最小化】
□ theHarvester で自社ドメインのメールアドレスが大量取得されないか確認しているか
□ Shodan で想定外のポートが公開されていないか定期確認しているか
□ 求人票に技術スタックの詳細が過剰に記載されていないか
□ GitHub に API キー・パスワード・内部 URL がコミットされていないか
□ 全社員に LinkedIn・SNS の業務情報投稿ガイドラインを周知しているか
【メール・認証の強化】
□ DMARC ポリシーが p=reject に設定されているか(p=none は不十分)
□ DKIM・SPF が正しく設定されているか
□ 多要素認証(MFA)が全アカウントで有効になっているか
【教育・訓練】
□ OSINT を活用したパーソナライズドフィッシング訓練を年 4 回以上実施しているか
□ 送金・情報提供を求める連絡へのコールバック検証を組織として義務化しているか
□ セキュリティインシデントを報告しやすい文化を構築しているか
【継続的なモニタリング】
□ ASM(Attack Surface Management)ツールで公開資産を継続監視しているか
□ Have I Been Pwned 等で自社ドメインの漏洩情報を定期確認しているか
□ ダークウェブの監視サービスを導入しているか
8. セキュリティエンジニアとして考えるべきこと
このシリーズを通じて繰り返し論じてきた「攻撃者は正規の仕組みを悪用する」というテーマは、OSINT においてその極致に達します。OSINT で使われる情報はすべて正規に公開された情報です。違法なハッキングは一切不要です。攻撃者は企業が「情報発信」として意図的に行った行為——採用、LinkedIn、プレスリリース——を武器に変えます。
防衛側エンジニアに求められるのは、技術的な対策の実装だけではありません。「自社が攻撃者にどう見えているか」を定期的に確認し、組織の情報発信そのものをセキュリティの観点から設計する視点が必要です。採用部門・広報部門・エンジニア個人の SNS 投稿までを含めた「情報露出の管理」が、標的型攻撃の入口を狭める最初の防衛ラインになります。
参考文献
[1] Vectra AI. "Spear Phishing: How Targeted Attacks Work and How to Stop Them." February 19, 2026.
https://www.vectra.ai/topics/spear-phishing
[2] IBM Japan. "OSINT(オシント)とは." December 9, 2025.
https://www.ibm.com/jp-ja/think/topics/osint
[3] Codebook(マキナレコード). "OSINTとは?活用例やテクニック、ツール、注意すべき点を解説." January 14, 2026.
https://codebook.machinarecord.com/cyber-intelligence/osint/15117/
[4] Selphish(標的型攻撃メール訓練サービス). "企業の公開情報から情報漏洩?OSINTを悪用した標的型攻撃メールに注意!" July 15, 2025.
https://security-academy.jp/blog/security/post-1389/
[5] CrowdStrike Japan. "OSINTオープンソースインテリジェンスとは?"
https://www.crowdstrike.com/ja-jp/cybersecurity-101/threat-intelligence/open-source-intelligence-osint/
[6] GMOサイバーセキュリティ byイエラエ. "攻撃者目線の漏洩情報調査(OSINT)による「偵察段階」からの侵入脅威対策." December 12, 2023.
https://gmo-cybersecurity.com/case/wealthnavi/
[7] Lampyre. "15 Best OSINT Tools in 2026." January 22, 2026.
https://lampyre.io/blog/15-best-osint-tools-in-2025/
[8] Axis Intelligence. "Top 10 OSINT Tools in 2025 Cyber Analysts Trust." June 24, 2025.
https://axis-intelligence.com/top-10-osint-tools-in-2025-review/
[9] State of Surveillance. "OSINT Tools: The Software Used to Find Anyone Online." January 9, 2026.
https://stateofsurveillance.org/articles/technical/osint-tools-overview-guide-2025/
[10] Newton Consulting. "サイバー攻撃に使われる「OSINT」とは."
https://www.newton-consulting.co.jp/itilnavi/column/osint.html
[11] StealthMole. "OSINTの基本的な使い方." October 16, 2024.
https://stealthmole.jp/blog/view/id/115
[12] Adaptive Security. "Spear Phishing in 2026: Detection, Training & Prevention Guide."
https://www.adaptivesecurity.com/blog/spear-phishing-in-2026-the-complete-guide-to-detection-training-and-prevention
[13] MITRE ATT&CK. "T1566 — Phishing."
https://attack.mitre.org/techniques/T1566/
[14] MITRE ATT&CK. "T1589 — Gather Victim Identity Information."
https://attack.mitre.org/techniques/T1589/