Hello there, ('ω')ノ
〜“外から見える社員情報”が狙われる時代〜
🧠 攻撃者が最初に狙うのは「人」
サイバー攻撃の多くは、まず組織内の“人”の情報を収集することから始まります。 メールアドレス、役職、担当領域、勤務場所、SNSアカウント… これらは攻撃の標的選定やなりすましの“足がかり”として使われます。
📌 OSINTを使えば、自社の社員情報が「外からどう見えているか」を確認できます。
🔍 社員情報が外部に漏れる主なルート
✅ 1. メールアドレスの漏洩
- 過去のデータ漏洩事件、フィッシングサイト経由、名刺交換アプリなどで拡散
- メールアドレスがスパムや標的型攻撃のターゲットリストに流用される可能性
チェック方法:
- Have I Been Pwned で社員ドメインを一括確認(法人登録要)
- Pastebin、BreachDirectory などの漏洩検索サービス
✅ 2. SNSやブログでの“職場バレ”
- 個人アカウントに勤務先・部署・仕事内容を明記している例
- 投稿内容や画像から内部情報や物理環境が漏れているケースも
チェック方法:
site:linkedin.com "会社名"(社員リストと職務内容を確認)- X(旧Twitter)で「勤務先 + ハンドルネーム」検索
- Google画像検索で社員の顔写真の再利用を調査
✅ 3. 求人・登記・報告資料からの特定
- IR資料や助成金報告書、官報、会社登記などに社員名や役職が明記される場合も
- 特定のプロジェクト単位で名前が外部資料に出るケース
チェック方法:
- 官報検索サービス(例:官報検索くん)
- 企業HPのプレスリリース、導入事例ページなど
✅ 4. GitHub・開発系SNSでの個人情報露出
- 技術者のGitHubプロフィールに「勤務先」や「使用技術」を記載
- 個人のコードに社内ドメインやサーバ名が含まれていることも
チェック方法:
- GitHubで
"会社名""@メールアドレス"検索 TruffleHogなどのツールで機密情報含有コードを抽出
🛠 一括チェックに使えるツール一覧
| 用途 | ツール名 |
|---|---|
| メール漏洩 | Have I Been Pwned, LeakCheck.io |
| SNS特定 | Maltego, Social Searcher, Pipl |
| 画像逆検索 | Google画像検索, Yandex |
| GitHub探索 | GitHub API, GitLeaks, GitHub Dork |
| Web文書監視 | Googleドーキング, FOFA, PublicWWW |
✅ 対応策:漏洩しない、されても使わせない
- 社員教育:SNSでの投稿範囲・個人情報取り扱い方の注意喚起
- ドメイン監視:外部からのメールや投稿に自社社員情報が含まれていないか自動確認
- 使い捨てメール導入:不要な外部サービス登録には“識別可能な別アドレス”を利用
- パスワード管理強化:漏洩を前提に、二要素認証・パスワード再利用禁止の徹底
✅ まとめ:社員情報は“企業防御の入口”
- メールアドレスや氏名といった“小さな情報”が攻撃の糸口になる
- OSINTで外部視点から調べることで、どこから狙われうるかを事前に把握
- 最善の防御は、“知られないこと”と“知られても使えない状態”を作ること
Best regards, (^^ゞ
