Hello thre, ('ω')ノ
〜“公開情報”だけでここまで分かる!実例で学ぶOSINTの力〜
🧠 OSINTは「情報のつなぎ合わせ」で真実に迫る
OSINT(オープンソースインテリジェンス)の真価は、 一見ばらばらな情報をつなぎ合わせて“事件の全体像”を解明する力にあります。
🎯 ケース概要:某企業へのフィッシング攻撃事件
- 発端:社員が「本社のセキュリティ確認」と称する不審メールを受信
- 添付URL:
https://secure-login-support.net/verify?empid=xxxx - 被害:少なくとも3名の社員がIDとパスワードを入力 → システムへ不正アクセス
🔎 ステップ1:ドメインの正体を調査
✅ 使用ツール:whois, crt.sh, urlscan.io
- ドメイン
secure-login-support.netは事件の1週間前に登録 - 登録者情報は匿名化されていたが、DNSサーバが中国系ホスティングサービスに集中
crt.shからSSL証明書の発行日が同時期で複数の類似ドメインと一致(例:corp-auth-support.net)
→ フィッシングキャンペーンで大量の偽装ドメインを同時に用意した可能性
🧑💻 ステップ2:サイトの挙動とコンテンツ分析
✅ 使用ツール:urlscan.io, Archive.is, VirusTotal
urlscan.ioで取得したレンダリング画面では、本社ログイン画面を模したUIが再現- フォーム送信先は、匿名ホスティング上の
/login.phpで、入力されたID/PWを外部に送信する設計
→ 攻撃者は見た目を完全にコピーし、URLだけ変えて偽装
🌐 ステップ3:SNSと掲示板での同様被害の確認
✅ 使用ツール:Social Searcher, Reddit, Twitter Advanced Search
- 同時期に同じドメインを含む不審メールの報告が複数件投稿されていた
- 投稿から逆引きして送信元IPを調べると、既知のスパムボットネットの一部だったことが判明
→ OSINTで得た「他社の被害情報」から攻撃者の再利用パターンを把握
📊 ステップ4:つながりの可視化と報告
✅ 使用ツール:Maltego, MISP, Excel
- 偽ドメイン群、SSL証明書、送信IP、報告投稿をノード図でつなぎ、攻撃キャンペーンの全体像を構築
- 調査結果は社内にPDFレポート+グラフ形式で共有し、次回以降のフィッシング対策ポリシー改善に活用
✅ 成果と学び
- 被害の範囲と手口を迅速に特定
- 攻撃グループの特徴・挙動パターンを把握
- 他社・SNSの情報を用いた“広域分析”で信頼性の高い判断が可能に
- 調査結果を“共有できる形”にまとめ、組織の対応力が向上
⚠ 注意:OSINTの調査対象は公開情報に限定する
- 被疑者個人への過剰調査や監視的行為はNG
- 情報の使用目的を明確化し、法と倫理に則った調査範囲を守る
🏁 まとめ:OSINTは“プロの目”に匹敵する調査力を持つ
- 特別な権限や内部情報がなくても、公開情報だけで事件の全容に迫ることは可能
- 正しい手順とツールを使えば、初動の事実確認から構造的な分析まで一貫して実施できる
- OSINTは、サイバー事件における現場力を支える“第3の捜査手段”になり得る
Best regards, (^^ゞ
