Hello there, ('ω')ノ
〜“知らぬ間の公開”が最大の脅威になる〜
🧠 なぜ企業の情報は「漏れていないようで漏れている」のか?
多くの企業は「うちは情報管理を徹底している」と考えていますが、 実際には不用意な公開や第三者の投稿、外部サービス経由で情報が外に漏れているケースが少なくありません。
OSINT(オープンソースインテリジェンス)を使えば、外部から見たときに何が“見えてしまっている”かを明らかにすることができます。
🔍 組織における情報漏洩の主なパターン
✅ 1. クラウドストレージの誤公開
- Google Drive, Dropbox, AWS S3 などの“共有設定ミス”により、社内資料が誰でも閲覧可能な状態に
- ファイル名:
顧客リスト_最新版.xlsx,会議資料_2305.pdf
チェック方法:
site:drive.google.com "機密"- S3 bucket一覧スキャンツール(Grayhat Warfareなど)
✅ 2. コード・設定ファイルのGitHub公開
- 開発者が個人のGitHubアカウントにAPIキーやDB接続情報をうっかり公開
- 社名やドメイン名で検索することで発見可能
チェック方法:
github.com "company.com"- GitHub dork例:
"password" "company.com" GitLeaks,TruffleHogなどの秘密情報検出ツール
✅ 3. ドメイン・メールからの情報漏洩
- メールアドレスがデータ漏洩サイトやパスワード流出DBに記録されている
- フィッシング対象として利用されるリスクも
チェック方法:
- Have I Been Pwned(ドメイン登録可能な法人は一括検索可)
- Pastebinやダークウェブに自社メールが含まれる投稿がないか確認
✅ 4. サブドメインの取りこぼし
- テスト環境・旧サイトなどが放置されたまま外部からアクセス可能
- 認証のない管理画面、未使用CMSなどが狙われる
チェック方法:
- Subdomain Enumeration(
Assetfinder,Sublist3r,Amass) site:*.example.comでGoogle検索も可能
✅ 5. 社員のSNS投稿・求人情報
- 技術者が使用技術スタックや社内構成を公開
- 採用ページから部署構成・業務内容・使用機材が細かく分かるケースも
チェック方法:
site:linkedin.com "会社名"site:en-japan.com "ネットワーク構成"などで求人情報を探索
🛠 漏洩リスク発見のためのツール・サービス
| カテゴリ | ツール例 |
|---|---|
| ストレージ監視 | Grayhat Warfare, S3Scanner |
| GitHub監視 | GitLeaks, GitHub Search API |
| 漏洩チェック | Have I Been Pwned, LeakCheck |
| サブドメイン収集 | Amass, Subfinder, crt.sh |
| SNS分析 | Maltego, OSINT Combine, TweetDeck |
⚠ 注意:調査は合法・非侵入的に
- あくまで“公開されている情報のみ”を対象に
- パスワードが必要なページ、ログインが前提のコンテンツにはアクセスしないこと
✅ まとめ:企業の“見えるところ”こそ狙われる
- 社外から見える情報=攻撃者も見ている情報
- OSINTで「外から見えている情報資産の棚卸し」を行えば、組織の無自覚なリスクを可視化できる
- 情報漏洩は「事件」になる前に、OSINTで“兆候”として発見することが可能
Best regards, (^^ゞ
