Skip to content
Published on

モダン OSINT(オープンソース・インテリジェンス)ツール 2026 完全ガイド - Maltego・Spiderfoot HX・Recon-ng・theHarvester・OSINT Industries・Trace Labs・Bellingcat・Lampyre・Aleph Project・TheHive 徹底解説

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

はじめに — 2026年5月、OSINT は「職種横断のスキル」になった

5年前まで OSINT(Open Source Intelligence)は情報機関、一部の調査報道、一部のセキュリティチームの専有領域に近かった。2026年5月現在、その境界はほぼ消えた。調査報道(Bellingcat、OCCRP、ICIJ、ProPublica、韓国のニュースタパ、OCCRP Japan)、サイバー脅威インテリジェンス(Recorded Future、Mandiant、Group-IB)、デューデリジェンス(Sayari、Kharon、Castellum.AI)、行方不明者対応(Trace Labs CTF フォーマット)、AML / 制裁詐欺調査ソーシャル監視まで、ほぼ同じツールスタックを共有している。

本稿はマーケティングマトリクスではなく「今この時点でどのツールがどの位置に入るか」を正直に整理する。Maltego 4.6 の変化、Spiderfoot HX SaaS ラインアップ、Recon-ng 6.x、theHarvester の限界、OSINT Industries・Epieos・Pimeyes のような商用集約プラットフォーム、GeoSpy AI のような AI ジオロケーションモデル、OCCRP の Aleph Project、Trace Labs CTF、そして EU AI Act 以降の顔認識規制まで合わせて扱う。

OSINT 2026 の景色 — 誰が、どんな案件で OSINT を使うか

2026年5月時点で OSINT 利用者は大きく6グループに分かれる。

  1. 調査報道: Bellingcat、OCCRP、ICIJ、ProPublica、ニュースタパ。MH17、シリア化学兵器、ウクライナ戦争、パナマ / パンドラ / プルート文書。
  2. サイバー脅威インテリジェンス(CTI): Mandiant、Recorded Future、Microsoft Threat Intelligence Center(MSTIC)、Group-IB。ドメイン・IOC・インフラ追跡。
  3. 金融・制裁コンプライアンス: Sayari、Kharon、Castellum.AI、Refinitiv World-Check、Dow Jones Risk。UBO(ultimate beneficial owner)、制裁回避調査。
  4. 行方不明者・人身売買対応: Trace Labs CTF、NCMEC、Polaris Project。市民 OSINT ボランティアの動員。
  5. 法執行・政府: Europol、Interpol、韓国 NIS、JPCERT/CC、NICT NICTER、公安調査庁。合法的な情報収集の範囲内で。
  6. 私的調査・ブランド監視: Mintel、Kroll、K2 Integrity、Hill & Knowlton。M&A 事前調査、評判モニタリング。

ワークフローは違っても、ツールスタックは 9 割近く重なる。リンク分析(Maltego / Aleph)自動偵察(Spiderfoot / Recon-ng)人物追跡(Sherlock / Epieos)インフラ照会(Shodan / Censys)漏洩 DB(HIBP / DeHashed)ジオロケーション(GeoSpy / Mapillary)ダークウェブ(Tor / Ahmia)。この 7 カテゴリが標準レイヤーである。

リンク分析 — Maltego・Lampyre・i2 Analyst's Notebook・Cytoscape・Aleph

リンク分析は OSINT のシグネチャ可視化だ。「エンティティ(ノード)と関係(エッジ)」としてデータをグラフ化しパターンを見る。

  • Maltego 4.6: 事実上の標準。Paterva 由来で現在は Maltego Technologies(ドイツ)が運営。Community Edition は無料だが 12 エンティティ制限、Maltego Professional(年 999 EUR 前後)、ClassicXL(エンタープライズ)のラインアップ。「Transforms」というデータソースプラグインのエコシステムが本体で、2026 年時点で Transform Hub には 400 種以上の transform が登録される。
  • Lampyre: ロシアの OSINT Academy 製のデスクトップツール。Windows 専用。地理・インフラ・人物分析に強く、自前のデータソースを内蔵するので単体でも十分使える。可視化は Maltego より粗いが、価格はかなり安い。
  • IBM i2 Analyst's Notebook: 政府・法執行(LE)の標準。Maltego より歴史が古く LE 市場でのシェアが高い。ライセンスが高額で閉じているため、市民 OSINT 領域ではほぼ使われない。
  • Cytoscape: オープンソース。元はバイオインフォマティクス向けだったが、OSINT のグラフ分析にも十分使える。JSON インポートが強力で、Spiderfoot 出力をそのまま受けて描画できる。
  • Aleph Project(OCCRP): 調査報道の標準。漏洩データセット(パナマ文書、パンドラ文書、ロシア資産データ)を検索・グラフ探索するプラットフォーム。ICIJ Datashare と並んで ICIJ 加盟メディアの定番。

Maltego の基本フローは次のとおり。

1. New Graph 作成
2. Domain エンティティをドラッグ -> ドメインを入力(例: example.com)
3. 右クリック -> Run Transform -> "To DNS Name [Robtex]" 実行
4. 新規ノードに対してさらに transform をチェーン
5. Layout > Block Layout または Hierarchical で整理
6. Notes / Bookmarks に仮説を記録
7. Maltego Graph(.mtgx)形式で保存

Maltego は強力だが学習曲線が急で、Community ライセンスは実質「学習用」にとどまる。実務 OSINT の入口は Maltego より Spiderfoot から始める方が早いというのが 2026 年の多数意見だ。

自動偵察 — Spiderfoot HX・Recon-ng・theHarvester・OSRFramework

自動偵察(automated reconnaissance)ツールは「ターゲット 1 件(ドメイン・メール・人物名)を入力すると、利用可能な OSINT ソースを一通り自動で叩く」カテゴリ。

  • Spiderfoot HX: Steve Micallef による。オープンソース Spiderfoot CE は GitHub で無料、Spiderfoot HX(SaaS)は月 79 USD から。200 種以上のモジュール(passive / investigate / footprint scan モード)を持ち、ドメイン・IP・メール・名前・ハッシュのいずれかを入力すれば自動でターゲットを拡張する。
  • Recon-ng 6.x: Tim Tomes 製の Python ベース モジュラー reconnaissance フレームワーク。Metasploit に似た CLI UX。基本同梱で 80 種前後、マーケットプレイスで追加モジュールも導入可能。
  • theHarvester: OSINT ツールの中で最も古参の部類。メール・ドメイン・サブドメイン収集に特化。Google、Bing、LinkedIn、GitHub、Shodan、Censys といった検索エンジンをクロスソースで叩く。限界は明確で「最初の偵察 5 分」だけに使う。
  • OSRFramework: ユーザー名 / プロフィール enumeration に特化。usufy、mailfy、searchfy、phonefy、entify の 5 ツール群。2026 年時点では Sherlock / Maigret に席をやや譲った状態。
  • OSINT-SAN: Adrian Lamo Tribute Project 系統。統合 OSINT フレームワーク。
  • DataSurgeon: Rust 製の正規表現ベース IOC 抽出器。PDF / HTML / ログから メール・URL・電話番号・ハッシュ・Bitcoin アドレスを高速に抜く。

theHarvester の典型的な呼び出しは次のとおり。

theHarvester -d example.com -l 500 -b bing,duckduckgo,crtsh

Spiderfoot CE はセルフホスティングで、HTTP サーバとして起動して Web UI から操作する。

git clone https://github.com/smicallef/spiderfoot
cd spiderfoot
pip3 install -r requirements.txt
python3 sf.py -l 127.0.0.1:5001

Recon-ng はインタラクティブ CLI。

[recon-ng][default] > marketplace install all
[recon-ng][default] > workspaces create demo
[recon-ng][demo] > modules load recon/domains-hosts/hackertarget
[recon-ng][demo][hackertarget] > options set SOURCE example.com
[recon-ng][demo][hackertarget] > run

自動偵察ツールの共通弱点は「API キーとコスト」。Shodan、Censys、SecurityTrails のような API は無料枠が極めて狭く、本気で使うには結局有料キーが要る。

人物・アカウント調査 — Sherlock・Maigret・WhatsMyName・OSINT Industries・Epieos

人物を追うとき、最初にやるのは「このユーザー名がどのサイトに登録されているか」の確認だ。

  • Sherlock: 最も有名なユーザー名 enumeration ツール。Python 製。400 以上のサイトを並列照会。無料 OSS。
  • Maigret: 事実上の Sherlock 後継。サイト数がさらに多く(2500 以上)、Tor サポート、メタデータ抽出も同時に行う。
  • WhatsMyName: WebBreacher が運営する Web ベース。インストール不要で、ブラウザにユーザー名を入れれば登録サイト一覧が出る。
  • OSINT Industries: プレミアム SaaS。メール・電話・ユーザー名を入力すると、商用 / 内部データセットでマッチした痕跡(SNS アカウント、登録サービス、露出メタデータ)を一画面に表示。1 query あたり 0.5 から 2 USD 程度。ライセンスの多くは法執行や調査機関向け。
  • Hunter.io、Snov.io: メール偵察。ドメインを入れれば社員メールパターンを抽出。本来は B2B セールス向けだが、OSINT 側でも頻用する。
  • Epieos: メール / 電話の逆引き特化。Gmail アカウントから紐づく Google ID の公開情報(レビュー、地図のアクティビティ、カレンダー情報)を引き出す。
  • Spy Dialer、TruePeopleSearch: 米国中心の人物検索サービス。日本ではほぼ使い道がないが、米国人の調査では定番。

Sherlock は使い方が非常に単純だ。

pip install sherlock-project
sherlock johndoe

OSINT Industries は CLI / API と Web コンソールの双方を備え、結果は JSON で取得して Maltego / Aleph に持ち込める。

このカテゴリの最大論点は プライバシー保護とストーキング懸念だ。同じツールがストーカーウェアに化けうるので、使用記録・同意・正当な目的の確認が無い場合にはツール側で遮断するか、アカウント停止する流れが強まっている。

画像・逆引き — Yandex・Bing・Google Lens・TinEye・Pimeyes・FaceCheck.ID

画像 OSINT は 2026 年で最も動きの速いカテゴリ。

  • Google Lens: 一般物体・テキスト認識は強力。顔検索はポリシー上制限。
  • Yandex Images: OSINT コミュニティが最も好む逆検索。顔ベースのマッチングに独自の強さがあり、ロシア / ウクライナ戦争 OSINT では事実上の一次ツール。
  • Bing Visual Search: マイクロソフト系。一般物体は強く、顔は制限。
  • TinEye: 最古参の逆画像検索。完全一致マッチ(reverse image)に特化し、顔認識は行わない。
  • Pimeyes: ポーランド製。顔検索特化。1 枚の顔写真をアップロードすると Web 上に露出した同一人物の写真を返す。サブスクリプション課金で、2026 年は GDPR 強化と EU AI Act の影響により EU 市民向けの無制限検索を遮断するポリシーが施行された。
  • FaceCheck.ID: 顔検索の後発組。Pimeyes よりアグレッシブなマーケティングを行い、倫理面での論争が大きい。
  • InVID & WeVerify: ブラウザ拡張。動画キーフレーム抽出・メタデータ分析・逆検索を 1 つの UI にまとめる(iter94 のファクトチェック記事で詳細)。

OSINT ワークフローでは、1 枚の画像を常に 3 エンジン(Google Lens、Yandex、Bing)以上に同時に投げるのが定石だ。「Yandex だけにマッチ、Google では出ない」のようなパターンが頻繁に起こる。

ジオロケーション — SunCalc・GeoGuessr 手法・Mapillary・GeoSpy AI

動画や写真が「どこで撮られたか」を推定する作業は OSINT の華形だ。

  • SunCalc / SunCalc.org: 緯度・経度・日付・時刻を入れると太陽位置と影方向を計算する。写真の影から時刻 / 方向を逆算する標準ツール。
  • GeoGuessr + コミュニティ手法: ゲームだが OSINT 訓練用にも使われる。道路標識、ナンバープレート、街灯の形、道路マーキング様式など、国や地域別の手がかりを身につける学習ツール。
  • Mapillary・KartaView・Google Street View: ストリートビュー比較用。Mapillary は Meta 子会社、KartaView は Grab 傘下。郊外・ユーザーアップロード比重が高い。
  • GeoSpy AI: 2024 年に登場した AI ジオロケーションモデル。1 枚の風景写真から推定緯経度と信頼区間を返す。2025 年から Bellingcat と OCCRP が標準装備に組み込んだ。無料枠と有料 API が存在。
  • Telegram + GeoChat 系ボット: チャットルームに位置を投げると、周辺のマッピングツールやソーシャル結果を自動返答するボット群。精度のバラツキは大きい。

ジオロケーションはツールよりも 方法論 が 80 % を決める。Bellingcat 標準フローは(1)地形(山・川・海岸線)→ (2)人工物(建物・看板・道路)→ (3)影 / 太陽 → (4)車両 / 植生 → (5)Street View / Mapillary でのクロスチェック。

ソーシャルメディア OSINT — X・Telegram・Discord・Reddit・Mastodon・LinkedIn

プラットフォームごとに OSINT 親和度は大きく違う。

  • X(Twitter): 2023 年の API 価格改定以降、無料 OSINT の大部分が失われた。2026 年時点で X Premium API は月 5000 USD から。非公式ツール(Nitter、snscrape)はブロッキングやレンダリング変更で常に壊れる。
  • Telegram: 最もホットな OSINT ターゲット。チャンネル / グループ監視は TGStat、Telemetr.io、Tgstat.ru のようなサービスが標準で、メッセージ検索・人気チャンネル分析・時間帯分析を提供する。
  • Discord: ボットベースの監視が一般的。ただし Discord ToS で自動スクレイピングは禁止されており、合法的な OSINT はボット招待後に取得可能なデータに限られる。
  • Reddit: 2023 年に Pushshift API が事実上終了し、OSINT としては大きな損失だった。2024 から 2026 年にかけて r/PushshiftReplacement 等の非公式代替が登場したが、過去データ範囲は限定的。
  • Mastodon + ActivityPub federation: 2024 年以降、重要な OSINT ターゲットに浮上。インスタンスが分散しているため検索は難しいが、ActivityPub fediverse 検索ツールが増えている。
  • LinkedIn: PhantomBuster、Apollo.io、Lusha のようなツールが人物・企業情報抽出の標準。LinkedIn ToS と GDPR / CCPA の遵守が最大リスク。

プラットフォーム OSINT の共通トレンドは「API 価格は上がり、非公式スクレイピングは難しくなる」。結果として、OSINT Industries のような商用集約サービスに費用が集中する流れだ。

ドメイン・インフラ — Shodan・Censys・SecurityTrails・DomainTools・VirusTotal

脅威インテリジェンス / CTI 領域の標準ツール群。

  • Shodan: 「インターネットの検索エンジン」の元祖。公開サービス・ポート・バナーをインデックスする。学生 / 研究者ライセンスは年 99 USD、ビジネスライセンスはそれ以上。
  • Censys: Shodan の最有力対抗。学術出身(ミシガン大学)。TLS 証明書検索が特に強い。無料枠は月 250 query。
  • ZoomEye: 中国 Knownsec 運営。アジア圏 IP のカバレッジが厚い。
  • Fofa: 中国製。ZoomEye と近いポジション。
  • SecurityTrails: ドメイン履歴・サブドメイン・DNS 変更追跡に特化。
  • DomainTools: WHOIS 履歴の標準。有料は高いが、法執行 / CTI では事実上必須。
  • PassiveTotal(RiskIQ -> Microsoft Defender Threat Intelligence): RiskIQ が Microsoft に買収された後、MDTI に統合。ドメイン・IP・SSL・WHOIS・PDNS を一画面に集約する。
  • VirusTotal: Google 傘下。ファイル・URL・ドメイン・IP を 70 以上の AV / 脅威インテリジェンスソースに一括照会する CTI の一次ツール。
  • URLscan.io: URL をヘッドレスブラウザで実行し、スクリーンショット・DOM・ネットワーク活動・関連ドメインを記録。無料公開スキャン + Pro ライセンス。
  • Any.Run: インタラクティブ マルウェア サンドボックス。CTI / 脅威分析の標準。
  • OTX AlienVault: AT&T Cybersecurity の OSINT IOC 共有プラットフォーム。無料。
  • GreyNoise: インターネットノイズ(スキャナ / ボット)分類に特化。「この IP は一般スキャナか、標的型攻撃者か」を素早く判定する。

Shodan CLI の典型操作は次のとおり。

pip install shodan
shodan init <YOUR_API_KEY>
shodan search 'product:nginx country:JP port:443' --limit 20
shodan host 1.2.3.4

このカテゴリの最大の変化は PassiveTotal の Microsoft 吸収 だ。独立 SaaS だった頃より価格・ライセンスが厳格化し、中小調査機関は Censys + URLscan + VirusTotal の組合せで代替する流れが増えた。

漏洩 / ブリーチ DB — HaveIBeenPwned・DeHashed・Intelligence X・LeakIX

漏洩データ(breach data)領域は最も倫理的・法的論争の多いカテゴリ。

  • HaveIBeenPwned(HIBP): Troy Hunt が運営。最も合法的・倫理的に安全な選択肢。メール / 電話番号がどの漏洩に含まれたかだけを返し、パスワードや平文は出さない。無料。
  • DeHashed: 漏洩した認証情報(メール + パスワードのハッシュ / 平文)を検索可能。法的にはグレーで、2023 年には米 FBI の押収・復元事案あり。2026 年時点では合法的 OSINT 用途を強調するポジショニング。
  • Intelligence X: 漏洩・ダークウェブ・過去 Telegram チャンネル・過去 Pastebin を統合した巨大インデックス。無料枠 + 商用ライセンスがあり、政府 / 調査機関への導入実績が多い。
  • LeakIX: 露出データベース / Elasticsearch / S3 バケットをインデックス。市民 OSINT が新規漏洩事故を発見する主要経路。
  • WikiLeaks、DDoSecrets: アクティビズム・報道寄りの漏洩アーカイブ。DDoSecrets は 2020 年の BlueLeaks 以降、政府・企業・ロシア関連資料が多い。

このカテゴリは 国別法令の影響が極めて大きい。EU GDPR、韓国個人情報保護法、日本の個人情報保護法に従って、漏洩データのダウンロード / 保有 / 使用については合法性を別途検討する必要がある。

ドキュメント・ダークウェブ — Tor Browser・Ahmia・OnionScan・Dark.Fail

ダークウェブ(Tor onion service)OSINT は別の専門領域だ。

  • Tor Browser: 標準アクセスツール。最新 11.x ライン。
  • Ahmia: 最も信頼性の高い onion 検索エンジン。フィルタ済みインデックス(児童性的搾取コンテンツ等を除外)。
  • OnionScan: Tor hidden service をスキャンし、誤設定メタデータ、画像 EXIF、SSH キーフィンガープリントなどを抽出。OPSEC 分析の標準。
  • Dark.Fail: onion サービスの稼働状況(uptime)と検証済み PGP キーのミラーリング。詐欺 onion(ダークマーケットのフィッシング)識別の標準。
  • Recorded Future Dark Web Intelligence: 商用。ダークウェブ・Telegram・犯罪フォーラムから IOC・資産露出・ブランド言及をリアルタイム監視する。

ダークウェブ OSINT の 9 割は「犯罪フォーラム・Telegram チャンネル」であり、onion サービス自体ではない。2020 年代後半以降、ダークウェブの取引 / 犯罪活動は Telegram / Discord に移行している比率が高い。

ビジュアル調査 — Bellingcat 方法論と Forensic Architecture

ツールと同じくらい重要なのが方法論だ。2026 年のビジュアル調査(visual investigation)の標準は次の 2 グループが作る。

  • Bellingcat(Eliot Higgins): 市民 OSINT の事実上の代名詞。MH17、シリア化学兵器、GRU 工作員身元特定、ウクライナ戦争レポートで正統性を築いた。無料ワークブック・教育コース・YouTube チャンネルを運営する。
  • OCCRP & Aleph: 組織犯罪・腐敗に特化したグローバル コンソーシアム。Aleph はそのデータプラットフォーム。
  • Forensic Architecture(ロンドン大学ゴールドスミス校): 人権侵害・戦争犯罪の 3D 再構成に特化。Hrant Dink 暗殺、ガザ空爆、ホワイトヘルメッツ攻撃などの分析。

Bellingcat 標準のビジュアル調査フローは(1)原本動画のメタデータ検証 → (2)キーフレーム抽出 → (3)ジオロケーション推定 → (4)時刻推定(影・天気)→ (5)Street View / Mapillary でのクロスチェック → (6)Twitter / Telegram の同時刻投稿でのクロスチェック → (7)仮説の文書化と反証可能性の検討。

韓国 OSINT エコシステム — KISIA・NIS・金融情報分析院

韓国の OSINT エコシステムは比較的小規模だが急速に成長している。

  • 韓国情報保安教育センター(KISIA、Korea Information Security Industry Association): 韓国の情報セキュリティ産業協会。OSINT 教育コースと資格認定を運営。SIS、OSCP のような国際資格と並行して、サイバーセキュリティ技士が国内標準。
  • 韓国インターネット振興院(KISA): KrCERT/CC を運営。韓国国内のサイバー侵害事故対応の標準で、OSINT はその一部。
  • 国家情報院(NIS)Open Source Intelligence Section: 公式 OSINT 組織は非公開だが、国家サイバー安全センター(NCSC)傘下に分析機能が多数。
  • 金融情報分析院(FIU、KoFIU): マネーロンダリング対策(AML)OSINT。仮想資産事業者の届出義務と合わせて、OSINT ベースの疑わしい取引監視を行う。
  • 民間領域: AhnLab、SK Shieldus、RaonSecure、ESTsecurity 等のサイバーセキュリティ企業が自社 OSINT / CTI チームを運営。報道側はニュースタパ、Sherlock(韓国メディア)、シサインの一部記者が OSINT 手法を積極的に活用する。

韓国では OSINT は 個人情報保護法 の影響を強く受ける。ユーザー名・メール・電話番号の収集・保管・利用は、情報主体の同意か法令上の根拠が必要だ。正当な取材や学術目的は例外だが、境界は曖昧。

日本 OSINT エコシステム — NICT NICTER・JPCERT/CC・公安調査庁

日本の OSINT エコシステムは政府主導 + 学術比重が韓国より大きい。

  • NICT(情報通信研究機構)NICTER: サイバー攻撃観測・分析プロジェクト。ダークネットトラフィック監視に基づく攻撃ランドスケープ分析を定期的に公開する。
  • JPCERT/CC: 日本の CERT。侵害事故対応 + OSINT 分析を行う CSIRT 標準。
  • 公安調査庁(PSIA): 法務省外局の情報機関。公式の OSINT 活用度は公開されていないが、レポートで OSINT を頻繁に参照する。
  • NHK 調査報道、東京新聞: 日本国内 OSINT 調査報道の拠点。福島、政治資金、自衛隊関連の報道で OSINT 手法を活用。
  • 民間セキュリティ企業: NTT セキュリティ、IIJ、ラック(LAC)、トレンドマイクロ日本法人が自社 OSINT / CTI チームを運営する。

日本では OSINT は 個人情報保護法 の影響下にある。韓国 / EU ほど厳格ではないが、2022 年改正以降は国境越え転送と同意要件が強化された。

CTF・教育 — Trace Labs CTF・OSINT Dojo・HackTheBox

OSINT 学習は書籍より実戦の方が早い。2026 年の標準学習経路は次のとおり。

  • Trace Labs Global OSINT Search Party CTF: 四半期開催。実在の行方不明者ケースのデータを受け取り OSINT ボランティアを行う。市民 OSINT 最大のイベントで、優勝チームには情報機関からの採用提案も出る。
  • OSINT Dojo: 無料 CTF プラットフォーム。入門〜中級チャレンジが充実。The Twelve Days of OSINTmas イベントが有名。
  • HackTheBox + TryHackMe: セキュリティ CTF だが OSINT track が独立している。OhSINT、Sakura ルームのような入門チャレンジが標準。
  • Cyber Detective CTF(Bristol): 英国 Bristol 大学運営。無料 OSINT チャレンジ。
  • DEFCON Recon Village: 毎年ラスベガスの DEFCON カンファレンスで開催される OSINT ヴィレッジ。CTF + 講演。

学習順序は(1)OSINT Dojo 入門 → (2)Cyber Detective CTF → (3)Trace Labs CTF 参加 → (4)HackTheBox / TryHackMe の OSINT ルーム → (5)自分のケーススタディ(Bellingcat ワークブック模写)が最も一般的。

法務・倫理 — GDPR・EU AI Act・韓国 / 日本の個人情報保護法

OSINT の法務・倫理面は 2024 から 2026 年に最も速く変化した。

  • GDPR(EU 一般データ保護規則): 2018 年施行。合法的根拠(legitimate interest、公益報道など)無しでの EU 市民データ処理は違法。Pimeyes、Clearview AI は複数の GDPR 取り締まりを受けた。
  • EU AI Act(2024): 公共空間でのリアルタイム顔認識を原則禁止(例外: 重大犯罪捜索など)。Pimeyes、FaceCheck.ID、Clearview AI は EU では制限的に運用される。
  • 韓国個人情報保護法: 同意 + 目的適合性 + 比例原則。公益取材 / 研究は一部例外だが、ネットに公開されたデータも結合すると識別可能になるため、OSINT には常に再識別リスクが伴う。
  • 日本個人情報保護法: 2022 年改正で国境越え転送と Cookie ベース識別子(third-party cookie)が制限された。
  • 米国 CCPA / CPRA: カリフォルニア州民データに対する opt-out 権。他州も独自法を施行中。
  • ストーカーウェア懸念: 同じ OSINT ツールがストーキングに転用されうるため、OSINT Industries や Epieos のような商用ツールは「離婚 / 家庭問題用途禁止」「法執行またはサイバーセキュリティ目的のみ」のような利用規約を強化する。

OSINT 実務担当者の標準チェック項目は(1)合法的根拠の確認 → (2)データ最小化 → (3)匿名性 / 再識別性の評価 → (4)保管期間の明示 → (5)結果の出所・時刻・信頼度の記録 → (6)第三者開示時のリスク評価。

AI 強化 — Claude / ChatGPT・LangChain + Maltego Transforms・GeoSpy AI

2025 から 2026 年の OSINT 最大の変化は LLM 強化だ。

  • Claude / ChatGPT for triage: 非定型テキスト(Telegram チャンネル キャプチャ、ダークウェブ フォーラム投稿、PDF レポート)を要約・エンティティ抽出する一次ツール。2026 年は Claude 3.7 Opus、GPT-4 Turbo、Claude Sonnet 4 がこの席を埋める。
  • LangChain + Maltego transform: Maltego transform 内から LLM を呼び、非定型データをグラフのノード / エッジに変換する。2025 年後半からコミュニティ transform が増えた。
  • GeoSpy AI: 1 枚の風景写真を緯経度と信頼区間で返す。Bellingcat が試験運用後に標準ツールとして採用。
  • OSINT-GPT、FraudGPT の対極: 悪性 LLM(FraudGPT、WormGPT)が詐欺 / フィッシングに使われる分、OSINT 側でも LLM を防衛インテリジェンスへ積極導入。
  • クラスタリング・翻訳: 多言語 Telegram / X 投稿の自動翻訳・クラスタリングを行う OSS パイプライン(Hugging Face Inference Endpoints + sentence-transformers)が標準化した。

ただし LLM は ハルシネーション リスクがあるので、OSINT 領域では「LLM が抽出したエンティティは必ず人手で検証する」が鉄則になった。

TheHive / MISP — 協業インシデント対応プラットフォーム

OSINT 結果をチームで共有・追跡するには協業プラットフォームが必要だ。

  • TheHive 5.x: StrangeBee が運営する SIRP(Security Incident Response Platform)。ケース管理 + IOC + observable + task。OSS Community Edition + Enterprise。
  • MISP(Malware Information Sharing Platform): 欧州 CERT-EU 由来の OSS。IOC 共有・分類・連合インデックスの標準。2026 年時点で 70 か国以上の CERT インスタンスが連合する。
  • Cortex: TheHive の姉妹プロジェクト。observable analyzer をモジュール化。VirusTotal、Shodan、MISP 等をモジュールとして呼ぶ。
  • YETI: 脅威インテリジェンス プラットフォーム。IOC + TTPs + actor グラフ。
  • OpenCTI: Filigran(フランス)運営。MITRE ATT&CK + STIX 2.1 ベース。欧州政府 CERT での採用が多い。

このカテゴリは OSINT の成果物を「一回限りの分析」から「組織資産」へ格上げする要だ。個人調査で終わるなら過剰だが、チーム OSINT はほぼ常に MISP か OpenCTI を導入する。

ワークフロー標準化 — 7 ステップ OSINT サイクル

2026 年時点の市民 OSINT / CTI 領域の標準ワークフローは 7 ステップにまとまる。

  1. 目標定義(planning): 何を、なぜ、誰のために調査するか。倫理的・法的根拠の確認。
  2. 収集(collection): passive(公開情報の照会)優先。active(相互作用を生じる)ステップは最小限。
  3. 処理(processing): 非定型データの整形。PDF / 画像 / HTML から IOC・エンティティを抽出。
  4. 分析(analysis): グラフ化・可視化・タイムライン作成。Maltego / Aleph / Cytoscape。
  5. 検証(verification): ソースの多元化、クロスチェック、反証可能性の検討。Bellingcat 標準。
  6. 報告(reporting): 仮説・証拠・信頼度を併記し、出所と時刻を添付する。
  7. 事後管理(retention): データ最小化・保管期間・削除・アクセス管理。

このサイクルは政府 IC(Intelligence Community)の OSINT サイクルを市民 OSINT 文脈に移したもので、2020 年代後半の多くの OSINT トレーニングプログラムで公式カリキュラムになった。

ツール選定ガイド — どの組合せから始めるか

OSINT を始めるときの推奨順序は次のとおり。

  1. 無料ツールから開始: Sherlock、theHarvester、Spiderfoot CE、Maigret、Cytoscape。1 週間ずつ回す。
  2. 検索 / 逆検索: Yandex、Google Lens、TinEye をブックマーク。あらゆる案件で画像逆検索は 5 分以内に済ませる。
  3. インフラ: Shodan(学生ライセンス)、Censys 無料枠、URLscan、VirusTotal。ドメイン / IP 調査の一次ツール。
  4. 人物 / アカウント: OSINT Industries はコストが大きい。最初は Epieos + Sherlock + Maigret で十分。
  5. 漏洩 DB: HIBP は無料 / 合法。DeHashed / Intelligence X は合法性検討後に。
  6. リンク分析: Maltego Community は学習用。本格運用が必要になってから Professional か Aleph に移行。
  7. 自動偵察: Spiderfoot CE をセルフホスト。CLI 派なら Recon-ng を追加。
  8. CTF: OSINT Dojo -> Cyber Detective -> Trace Labs CTF の順。
  9. 協業: 単独作業はメモのみ。チームなら TheHive + MISP を導入。
  10. AI 強化: Claude / ChatGPT を非定型テキストの triage に。結果は必ず人手で検証する。

最大の落とし穴は「最初から全ツールを揃えようとする欲」だ。1 カテゴリ(例: 人物調査)に 1 週間集中 する学習パターンが最も上達が速い。

おわりに — 2026 年 5 月、OSINT は「民主化された、ただし責任も増えた」

本稿の結論は 2 つ。1 つ目は、OSINT は 5 年前とは比較にならないほど民主化された。無料ツール + LLM 強化により、市民・記者・調査担当者の誰もが本格的な調査を実行できる。2 つ目は、責任もそれだけ大きくなった。EU AI Act、GDPR、韓国 / 日本の個人情報保護法、ストーカーウェア懸念が同時に圧力を掛け、「何でも検索してみる」時代は終わった。

ツール選定より重要なのは 方法論 だ。Bellingcat ワークブックの 1 から 2 章を実際に手で追ってみる方が、OSINT ツールを 30 種類インストールするより遥かに価値が大きい。どのツールを使うにしても、「出所、時刻、信頼度」の 3 種メタデータ無しに結果を記録しない。この 1 つの習慣だけで OSINT の 9 割は片が付く。

References

Discuss on TwitterView on GitHub