Skip to content

필사 모드: モダン OSINT(オープンソース・インテリジェンス)ツール 2026 完全ガイド - Maltego・Spiderfoot HX・Recon-ng・theHarvester・OSINT Industries・Trace Labs・Bellingcat・Lampyre・Aleph Project・TheHive 徹底解説

日本語
0%
정확도 0%
💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.
원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

はじめに — 2026年5月、OSINT は「職種横断のスキル」になった

5年前まで OSINT(Open Source Intelligence)は情報機関、一部の調査報道、一部のセキュリティチームの専有領域に近かった。2026年5月現在、その境界はほぼ消えた。**調査報道**(Bellingcat、OCCRP、ICIJ、ProPublica、韓国のニュースタパ、OCCRP Japan)、**サイバー脅威インテリジェンス**(Recorded Future、Mandiant、Group-IB)、**デューデリジェンス**(Sayari、Kharon、Castellum.AI)、**行方不明者対応**(Trace Labs CTF フォーマット)、**AML / 制裁**、**詐欺調査**、**ソーシャル監視**まで、ほぼ同じツールスタックを共有している。

本稿はマーケティングマトリクスではなく「今この時点でどのツールがどの位置に入るか」を正直に整理する。Maltego 4.6 の変化、Spiderfoot HX SaaS ラインアップ、Recon-ng 6.x、theHarvester の限界、OSINT Industries・Epieos・Pimeyes のような商用集約プラットフォーム、GeoSpy AI のような AI ジオロケーションモデル、OCCRP の Aleph Project、Trace Labs CTF、そして EU AI Act 以降の顔認識規制まで合わせて扱う。

OSINT 2026 の景色 — 誰が、どんな案件で OSINT を使うか

2026年5月時点で OSINT 利用者は大きく6グループに分かれる。

1. **調査報道**: Bellingcat、OCCRP、ICIJ、ProPublica、ニュースタパ。MH17、シリア化学兵器、ウクライナ戦争、パナマ / パンドラ / プルート文書。

2. **サイバー脅威インテリジェンス(CTI)**: Mandiant、Recorded Future、Microsoft Threat Intelligence Center(MSTIC)、Group-IB。ドメイン・IOC・インフラ追跡。

3. **金融・制裁コンプライアンス**: Sayari、Kharon、Castellum.AI、Refinitiv World-Check、Dow Jones Risk。UBO(ultimate beneficial owner)、制裁回避調査。

4. **行方不明者・人身売買対応**: Trace Labs CTF、NCMEC、Polaris Project。市民 OSINT ボランティアの動員。

5. **法執行・政府**: Europol、Interpol、韓国 NIS、JPCERT/CC、NICT NICTER、公安調査庁。合法的な情報収集の範囲内で。

6. **私的調査・ブランド監視**: Mintel、Kroll、K2 Integrity、Hill & Knowlton。M&A 事前調査、評判モニタリング。

ワークフローは違っても、ツールスタックは 9 割近く重なる。**リンク分析(Maltego / Aleph)**、**自動偵察(Spiderfoot / Recon-ng)**、**人物追跡(Sherlock / Epieos)**、**インフラ照会(Shodan / Censys)**、**漏洩 DB(HIBP / DeHashed)**、**ジオロケーション(GeoSpy / Mapillary)**、**ダークウェブ(Tor / Ahmia)**。この 7 カテゴリが標準レイヤーである。

リンク分析 — Maltego・Lampyre・i2 Analyst's Notebook・Cytoscape・Aleph

リンク分析は OSINT のシグネチャ可視化だ。「エンティティ(ノード)と関係(エッジ)」としてデータをグラフ化しパターンを見る。

- **Maltego 4.6**: 事実上の標準。Paterva 由来で現在は Maltego Technologies(ドイツ)が運営。Community Edition は無料だが 12 エンティティ制限、**Maltego Professional**(年 999 EUR 前後)、**Classic**、**XL**(エンタープライズ)のラインアップ。「Transforms」というデータソースプラグインのエコシステムが本体で、2026 年時点で Transform Hub には 400 種以上の transform が登録される。

- **Lampyre**: ロシアの OSINT Academy 製のデスクトップツール。Windows 専用。地理・インフラ・人物分析に強く、自前のデータソースを内蔵するので単体でも十分使える。可視化は Maltego より粗いが、価格はかなり安い。

- **IBM i2 Analyst's Notebook**: 政府・法執行(LE)の標準。Maltego より歴史が古く LE 市場でのシェアが高い。ライセンスが高額で閉じているため、市民 OSINT 領域ではほぼ使われない。

- **Cytoscape**: オープンソース。元はバイオインフォマティクス向けだったが、OSINT のグラフ分析にも十分使える。JSON インポートが強力で、Spiderfoot 出力をそのまま受けて描画できる。

- **Aleph Project(OCCRP)**: 調査報道の標準。漏洩データセット(パナマ文書、パンドラ文書、ロシア資産データ)を検索・グラフ探索するプラットフォーム。ICIJ Datashare と並んで ICIJ 加盟メディアの定番。

Maltego の基本フローは次のとおり。

1. New Graph 作成

2. Domain エンティティをドラッグ -> ドメインを入力(例: example.com)

3. 右クリック -> Run Transform -> "To DNS Name [Robtex]" 実行

4. 新規ノードに対してさらに transform をチェーン

5. Layout > Block Layout または Hierarchical で整理

6. Notes / Bookmarks に仮説を記録

7. Maltego Graph(.mtgx)形式で保存

Maltego は強力だが学習曲線が急で、Community ライセンスは実質「学習用」にとどまる。**実務 OSINT の入口は Maltego より Spiderfoot から始める方が早い**というのが 2026 年の多数意見だ。

自動偵察 — Spiderfoot HX・Recon-ng・theHarvester・OSRFramework

自動偵察(automated reconnaissance)ツールは「ターゲット 1 件(ドメイン・メール・人物名)を入力すると、利用可能な OSINT ソースを一通り自動で叩く」カテゴリ。

- **Spiderfoot HX**: Steve Micallef による。オープンソース Spiderfoot CE は GitHub で無料、**Spiderfoot HX**(SaaS)は月 79 USD から。200 種以上のモジュール(passive / investigate / footprint scan モード)を持ち、ドメイン・IP・メール・名前・ハッシュのいずれかを入力すれば自動でターゲットを拡張する。

- **Recon-ng 6.x**: Tim Tomes 製の Python ベース モジュラー reconnaissance フレームワーク。Metasploit に似た CLI UX。基本同梱で 80 種前後、マーケットプレイスで追加モジュールも導入可能。

- **theHarvester**: OSINT ツールの中で最も古参の部類。メール・ドメイン・サブドメイン収集に特化。Google、Bing、LinkedIn、GitHub、Shodan、Censys といった検索エンジンをクロスソースで叩く。限界は明確で「最初の偵察 5 分」だけに使う。

- **OSRFramework**: ユーザー名 / プロフィール enumeration に特化。usufy、mailfy、searchfy、phonefy、entify の 5 ツール群。2026 年時点では Sherlock / Maigret に席をやや譲った状態。

- **OSINT-SAN**: Adrian Lamo Tribute Project 系統。統合 OSINT フレームワーク。

- **DataSurgeon**: Rust 製の正規表現ベース IOC 抽出器。PDF / HTML / ログから メール・URL・電話番号・ハッシュ・Bitcoin アドレスを高速に抜く。

theHarvester の典型的な呼び出しは次のとおり。

theHarvester -d example.com -l 500 -b bing,duckduckgo,crtsh

Spiderfoot CE はセルフホスティングで、HTTP サーバとして起動して Web UI から操作する。

git clone https://github.com/smicallef/spiderfoot

cd spiderfoot

pip3 install -r requirements.txt

python3 sf.py -l 127.0.0.1:5001

Recon-ng はインタラクティブ CLI。

[recon-ng][default] > marketplace install all

[recon-ng][default] > workspaces create demo

[recon-ng][demo] > modules load recon/domains-hosts/hackertarget

[recon-ng][demo][hackertarget] > options set SOURCE example.com

[recon-ng][demo][hackertarget] > run

自動偵察ツールの共通弱点は「API キーとコスト」。Shodan、Censys、SecurityTrails のような API は無料枠が極めて狭く、本気で使うには結局有料キーが要る。

人物・アカウント調査 — Sherlock・Maigret・WhatsMyName・OSINT Industries・Epieos

人物を追うとき、最初にやるのは「このユーザー名がどのサイトに登録されているか」の確認だ。

- **Sherlock**: 最も有名なユーザー名 enumeration ツール。Python 製。400 以上のサイトを並列照会。無料 OSS。

- **Maigret**: 事実上の Sherlock 後継。サイト数がさらに多く(2500 以上)、Tor サポート、メタデータ抽出も同時に行う。

- **WhatsMyName**: WebBreacher が運営する Web ベース。インストール不要で、ブラウザにユーザー名を入れれば登録サイト一覧が出る。

- **OSINT Industries**: プレミアム SaaS。メール・電話・ユーザー名を入力すると、商用 / 内部データセットでマッチした痕跡(SNS アカウント、登録サービス、露出メタデータ)を一画面に表示。1 query あたり 0.5 から 2 USD 程度。ライセンスの多くは法執行や調査機関向け。

- **Hunter.io、Snov.io**: メール偵察。ドメインを入れれば社員メールパターンを抽出。本来は B2B セールス向けだが、OSINT 側でも頻用する。

- **Epieos**: メール / 電話の逆引き特化。Gmail アカウントから紐づく Google ID の公開情報(レビュー、地図のアクティビティ、カレンダー情報)を引き出す。

- **Spy Dialer、TruePeopleSearch**: 米国中心の人物検索サービス。日本ではほぼ使い道がないが、米国人の調査では定番。

Sherlock は使い方が非常に単純だ。

pip install sherlock-project

sherlock johndoe

OSINT Industries は CLI / API と Web コンソールの双方を備え、結果は JSON で取得して Maltego / Aleph に持ち込める。

このカテゴリの最大論点は **プライバシー保護とストーキング懸念**だ。同じツールがストーカーウェアに化けうるので、使用記録・同意・正当な目的の確認が無い場合にはツール側で遮断するか、アカウント停止する流れが強まっている。

画像・逆引き — Yandex・Bing・Google Lens・TinEye・Pimeyes・FaceCheck.ID

画像 OSINT は 2026 年で最も動きの速いカテゴリ。

- **Google Lens**: 一般物体・テキスト認識は強力。顔検索はポリシー上制限。

- **Yandex Images**: OSINT コミュニティが最も好む逆検索。顔ベースのマッチングに独自の強さがあり、ロシア / ウクライナ戦争 OSINT では事実上の一次ツール。

- **Bing Visual Search**: マイクロソフト系。一般物体は強く、顔は制限。

- **TinEye**: 最古参の逆画像検索。完全一致マッチ(reverse image)に特化し、顔認識は行わない。

- **Pimeyes**: ポーランド製。**顔検索**特化。1 枚の顔写真をアップロードすると Web 上に露出した同一人物の写真を返す。サブスクリプション課金で、2026 年は GDPR 強化と EU AI Act の影響により EU 市民向けの無制限検索を遮断するポリシーが施行された。

- **FaceCheck.ID**: 顔検索の後発組。Pimeyes よりアグレッシブなマーケティングを行い、倫理面での論争が大きい。

- **InVID & WeVerify**: ブラウザ拡張。動画キーフレーム抽出・メタデータ分析・逆検索を 1 つの UI にまとめる(iter94 のファクトチェック記事で詳細)。

OSINT ワークフローでは、1 枚の画像を常に 3 エンジン(Google Lens、Yandex、Bing)以上に同時に投げるのが定石だ。「Yandex だけにマッチ、Google では出ない」のようなパターンが頻繁に起こる。

ジオロケーション — SunCalc・GeoGuessr 手法・Mapillary・GeoSpy AI

動画や写真が「どこで撮られたか」を推定する作業は OSINT の華形だ。

- **SunCalc / SunCalc.org**: 緯度・経度・日付・時刻を入れると太陽位置と影方向を計算する。写真の影から時刻 / 方向を逆算する標準ツール。

- **GeoGuessr + コミュニティ手法**: ゲームだが OSINT 訓練用にも使われる。道路標識、ナンバープレート、街灯の形、道路マーキング様式など、国や地域別の手がかりを身につける学習ツール。

- **Mapillary・KartaView・Google Street View**: ストリートビュー比較用。Mapillary は Meta 子会社、KartaView は Grab 傘下。郊外・ユーザーアップロード比重が高い。

- **GeoSpy AI**: 2024 年に登場した AI ジオロケーションモデル。1 枚の風景写真から推定緯経度と信頼区間を返す。2025 年から Bellingcat と OCCRP が標準装備に組み込んだ。無料枠と有料 API が存在。

- **Telegram + GeoChat 系ボット**: チャットルームに位置を投げると、周辺のマッピングツールやソーシャル結果を自動返答するボット群。精度のバラツキは大きい。

ジオロケーションはツールよりも **方法論** が 80 % を決める。Bellingcat 標準フローは(1)地形(山・川・海岸線)→ (2)人工物(建物・看板・道路)→ (3)影 / 太陽 → (4)車両 / 植生 → (5)Street View / Mapillary でのクロスチェック。

ソーシャルメディア OSINT — X・Telegram・Discord・Reddit・Mastodon・LinkedIn

プラットフォームごとに OSINT 親和度は大きく違う。

- **X(Twitter)**: 2023 年の API 価格改定以降、無料 OSINT の大部分が失われた。2026 年時点で X Premium API は月 5000 USD から。非公式ツール(Nitter、snscrape)はブロッキングやレンダリング変更で常に壊れる。

- **Telegram**: 最もホットな OSINT ターゲット。チャンネル / グループ監視は TGStat、Telemetr.io、Tgstat.ru のようなサービスが標準で、メッセージ検索・人気チャンネル分析・時間帯分析を提供する。

- **Discord**: ボットベースの監視が一般的。ただし Discord ToS で自動スクレイピングは禁止されており、合法的な OSINT はボット招待後に取得可能なデータに限られる。

- **Reddit**: 2023 年に Pushshift API が事実上終了し、OSINT としては大きな損失だった。2024 から 2026 年にかけて r/PushshiftReplacement 等の非公式代替が登場したが、過去データ範囲は限定的。

- **Mastodon + ActivityPub federation**: 2024 年以降、重要な OSINT ターゲットに浮上。インスタンスが分散しているため検索は難しいが、ActivityPub fediverse 検索ツールが増えている。

- **LinkedIn**: PhantomBuster、Apollo.io、Lusha のようなツールが人物・企業情報抽出の標準。LinkedIn ToS と GDPR / CCPA の遵守が最大リスク。

プラットフォーム OSINT の共通トレンドは「API 価格は上がり、非公式スクレイピングは難しくなる」。結果として、OSINT Industries のような商用集約サービスに費用が集中する流れだ。

ドメイン・インフラ — Shodan・Censys・SecurityTrails・DomainTools・VirusTotal

脅威インテリジェンス / CTI 領域の標準ツール群。

- **Shodan**: 「インターネットの検索エンジン」の元祖。公開サービス・ポート・バナーをインデックスする。学生 / 研究者ライセンスは年 99 USD、ビジネスライセンスはそれ以上。

- **Censys**: Shodan の最有力対抗。学術出身(ミシガン大学)。TLS 証明書検索が特に強い。無料枠は月 250 query。

- **ZoomEye**: 中国 Knownsec 運営。アジア圏 IP のカバレッジが厚い。

- **Fofa**: 中国製。ZoomEye と近いポジション。

- **SecurityTrails**: ドメイン履歴・サブドメイン・DNS 変更追跡に特化。

- **DomainTools**: WHOIS 履歴の標準。有料は高いが、法執行 / CTI では事実上必須。

- **PassiveTotal(RiskIQ -> Microsoft Defender Threat Intelligence)**: RiskIQ が Microsoft に買収された後、MDTI に統合。ドメイン・IP・SSL・WHOIS・PDNS を一画面に集約する。

- **VirusTotal**: Google 傘下。ファイル・URL・ドメイン・IP を 70 以上の AV / 脅威インテリジェンスソースに一括照会する CTI の一次ツール。

- **URLscan.io**: URL をヘッドレスブラウザで実行し、スクリーンショット・DOM・ネットワーク活動・関連ドメインを記録。無料公開スキャン + Pro ライセンス。

- **Any.Run**: インタラクティブ マルウェア サンドボックス。CTI / 脅威分析の標準。

- **OTX AlienVault**: AT&T Cybersecurity の OSINT IOC 共有プラットフォーム。無料。

- **GreyNoise**: インターネットノイズ(スキャナ / ボット)分類に特化。「この IP は一般スキャナか、標的型攻撃者か」を素早く判定する。

Shodan CLI の典型操作は次のとおり。

pip install shodan

shodan init <YOUR_API_KEY>

shodan search 'product:nginx country:JP port:443' --limit 20

shodan host 1.2.3.4

このカテゴリの最大の変化は **PassiveTotal の Microsoft 吸収** だ。独立 SaaS だった頃より価格・ライセンスが厳格化し、中小調査機関は Censys + URLscan + VirusTotal の組合せで代替する流れが増えた。

漏洩 / ブリーチ DB — HaveIBeenPwned・DeHashed・Intelligence X・LeakIX

漏洩データ(breach data)領域は最も倫理的・法的論争の多いカテゴリ。

- **HaveIBeenPwned(HIBP)**: Troy Hunt が運営。最も合法的・倫理的に安全な選択肢。メール / 電話番号がどの漏洩に含まれたかだけを返し、パスワードや平文は出さない。無料。

- **DeHashed**: 漏洩した認証情報(メール + パスワードのハッシュ / 平文)を検索可能。法的にはグレーで、2023 年には米 FBI の押収・復元事案あり。2026 年時点では合法的 OSINT 用途を強調するポジショニング。

- **Intelligence X**: 漏洩・ダークウェブ・過去 Telegram チャンネル・過去 Pastebin を統合した巨大インデックス。無料枠 + 商用ライセンスがあり、政府 / 調査機関への導入実績が多い。

- **LeakIX**: 露出データベース / Elasticsearch / S3 バケットをインデックス。市民 OSINT が新規漏洩事故を発見する主要経路。

- **WikiLeaks、DDoSecrets**: アクティビズム・報道寄りの漏洩アーカイブ。DDoSecrets は 2020 年の BlueLeaks 以降、政府・企業・ロシア関連資料が多い。

このカテゴリは **国別法令の影響が極めて大きい**。EU GDPR、韓国個人情報保護法、日本の個人情報保護法に従って、漏洩データのダウンロード / 保有 / 使用については合法性を別途検討する必要がある。

ドキュメント・ダークウェブ — Tor Browser・Ahmia・OnionScan・Dark.Fail

ダークウェブ(Tor onion service)OSINT は別の専門領域だ。

- **Tor Browser**: 標準アクセスツール。最新 11.x ライン。

- **Ahmia**: 最も信頼性の高い onion 検索エンジン。フィルタ済みインデックス(児童性的搾取コンテンツ等を除外)。

- **OnionScan**: Tor hidden service をスキャンし、誤設定メタデータ、画像 EXIF、SSH キーフィンガープリントなどを抽出。OPSEC 分析の標準。

- **Dark.Fail**: onion サービスの稼働状況(uptime)と検証済み PGP キーのミラーリング。詐欺 onion(ダークマーケットのフィッシング)識別の標準。

- **Recorded Future Dark Web Intelligence**: 商用。ダークウェブ・Telegram・犯罪フォーラムから IOC・資産露出・ブランド言及をリアルタイム監視する。

ダークウェブ OSINT の 9 割は「犯罪フォーラム・Telegram チャンネル」であり、onion サービス自体ではない。2020 年代後半以降、ダークウェブの取引 / 犯罪活動は Telegram / Discord に移行している比率が高い。

ビジュアル調査 — Bellingcat 方法論と Forensic Architecture

ツールと同じくらい重要なのが方法論だ。2026 年のビジュアル調査(visual investigation)の標準は次の 2 グループが作る。

- **Bellingcat(Eliot Higgins)**: 市民 OSINT の事実上の代名詞。MH17、シリア化学兵器、GRU 工作員身元特定、ウクライナ戦争レポートで正統性を築いた。無料ワークブック・教育コース・YouTube チャンネルを運営する。

- **OCCRP & Aleph**: 組織犯罪・腐敗に特化したグローバル コンソーシアム。Aleph はそのデータプラットフォーム。

- **Forensic Architecture(ロンドン大学ゴールドスミス校)**: 人権侵害・戦争犯罪の 3D 再構成に特化。Hrant Dink 暗殺、ガザ空爆、ホワイトヘルメッツ攻撃などの分析。

Bellingcat 標準のビジュアル調査フローは(1)原本動画のメタデータ検証 → (2)キーフレーム抽出 → (3)ジオロケーション推定 → (4)時刻推定(影・天気)→ (5)Street View / Mapillary でのクロスチェック → (6)Twitter / Telegram の同時刻投稿でのクロスチェック → (7)仮説の文書化と反証可能性の検討。

韓国 OSINT エコシステム — KISIA・NIS・金融情報分析院

韓国の OSINT エコシステムは比較的小規模だが急速に成長している。

- **韓国情報保安教育センター(KISIA、Korea Information Security Industry Association)**: 韓国の情報セキュリティ産業協会。OSINT 教育コースと資格認定を運営。SIS、OSCP のような国際資格と並行して、サイバーセキュリティ技士が国内標準。

- **韓国インターネット振興院(KISA)**: KrCERT/CC を運営。韓国国内のサイバー侵害事故対応の標準で、OSINT はその一部。

- **国家情報院(NIS)Open Source Intelligence Section**: 公式 OSINT 組織は非公開だが、国家サイバー安全センター(NCSC)傘下に分析機能が多数。

- **金融情報分析院(FIU、KoFIU)**: マネーロンダリング対策(AML)OSINT。仮想資産事業者の届出義務と合わせて、OSINT ベースの疑わしい取引監視を行う。

- **民間領域**: AhnLab、SK Shieldus、RaonSecure、ESTsecurity 等のサイバーセキュリティ企業が自社 OSINT / CTI チームを運営。報道側はニュースタパ、Sherlock(韓国メディア)、シサインの一部記者が OSINT 手法を積極的に活用する。

韓国では OSINT は **個人情報保護法** の影響を強く受ける。ユーザー名・メール・電話番号の収集・保管・利用は、情報主体の同意か法令上の根拠が必要だ。正当な取材や学術目的は例外だが、境界は曖昧。

日本 OSINT エコシステム — NICT NICTER・JPCERT/CC・公安調査庁

日本の OSINT エコシステムは政府主導 + 学術比重が韓国より大きい。

- **NICT(情報通信研究機構)NICTER**: サイバー攻撃観測・分析プロジェクト。ダークネットトラフィック監視に基づく攻撃ランドスケープ分析を定期的に公開する。

- **JPCERT/CC**: 日本の CERT。侵害事故対応 + OSINT 分析を行う CSIRT 標準。

- **公安調査庁(PSIA)**: 法務省外局の情報機関。公式の OSINT 活用度は公開されていないが、レポートで OSINT を頻繁に参照する。

- **NHK 調査報道、東京新聞**: 日本国内 OSINT 調査報道の拠点。福島、政治資金、自衛隊関連の報道で OSINT 手法を活用。

- **民間セキュリティ企業**: NTT セキュリティ、IIJ、ラック(LAC)、トレンドマイクロ日本法人が自社 OSINT / CTI チームを運営する。

日本では OSINT は **個人情報保護法** の影響下にある。韓国 / EU ほど厳格ではないが、2022 年改正以降は国境越え転送と同意要件が強化された。

CTF・教育 — Trace Labs CTF・OSINT Dojo・HackTheBox

OSINT 学習は書籍より実戦の方が早い。2026 年の標準学習経路は次のとおり。

- **Trace Labs Global OSINT Search Party CTF**: 四半期開催。実在の行方不明者ケースのデータを受け取り OSINT ボランティアを行う。市民 OSINT 最大のイベントで、優勝チームには情報機関からの採用提案も出る。

- **OSINT Dojo**: 無料 CTF プラットフォーム。入門〜中級チャレンジが充実。The Twelve Days of OSINTmas イベントが有名。

- **HackTheBox + TryHackMe**: セキュリティ CTF だが OSINT track が独立している。OhSINT、Sakura ルームのような入門チャレンジが標準。

- **Cyber Detective CTF(Bristol)**: 英国 Bristol 大学運営。無料 OSINT チャレンジ。

- **DEFCON Recon Village**: 毎年ラスベガスの DEFCON カンファレンスで開催される OSINT ヴィレッジ。CTF + 講演。

学習順序は(1)OSINT Dojo 入門 → (2)Cyber Detective CTF → (3)Trace Labs CTF 参加 → (4)HackTheBox / TryHackMe の OSINT ルーム → (5)自分のケーススタディ(Bellingcat ワークブック模写)が最も一般的。

法務・倫理 — GDPR・EU AI Act・韓国 / 日本の個人情報保護法

OSINT の法務・倫理面は 2024 から 2026 年に最も速く変化した。

- **GDPR(EU 一般データ保護規則)**: 2018 年施行。合法的根拠(legitimate interest、公益報道など)無しでの EU 市民データ処理は違法。Pimeyes、Clearview AI は複数の GDPR 取り締まりを受けた。

- **EU AI Act(2024)**: 公共空間でのリアルタイム顔認識を原則禁止(例外: 重大犯罪捜索など)。Pimeyes、FaceCheck.ID、Clearview AI は EU では制限的に運用される。

- **韓国個人情報保護法**: 同意 + 目的適合性 + 比例原則。公益取材 / 研究は一部例外だが、ネットに公開されたデータも結合すると識別可能になるため、OSINT には常に再識別リスクが伴う。

- **日本個人情報保護法**: 2022 年改正で国境越え転送と Cookie ベース識別子(third-party cookie)が制限された。

- **米国 CCPA / CPRA**: カリフォルニア州民データに対する opt-out 権。他州も独自法を施行中。

- **ストーカーウェア懸念**: 同じ OSINT ツールがストーキングに転用されうるため、OSINT Industries や Epieos のような商用ツールは「離婚 / 家庭問題用途禁止」「法執行またはサイバーセキュリティ目的のみ」のような利用規約を強化する。

OSINT 実務担当者の標準チェック項目は(1)合法的根拠の確認 → (2)データ最小化 → (3)匿名性 / 再識別性の評価 → (4)保管期間の明示 → (5)結果の出所・時刻・信頼度の記録 → (6)第三者開示時のリスク評価。

AI 強化 — Claude / ChatGPT・LangChain + Maltego Transforms・GeoSpy AI

2025 から 2026 年の OSINT 最大の変化は LLM 強化だ。

- **Claude / ChatGPT for triage**: 非定型テキスト(Telegram チャンネル キャプチャ、ダークウェブ フォーラム投稿、PDF レポート)を要約・エンティティ抽出する一次ツール。2026 年は Claude 3.7 Opus、GPT-4 Turbo、Claude Sonnet 4 がこの席を埋める。

- **LangChain + Maltego transform**: Maltego transform 内から LLM を呼び、非定型データをグラフのノード / エッジに変換する。2025 年後半からコミュニティ transform が増えた。

- **GeoSpy AI**: 1 枚の風景写真を緯経度と信頼区間で返す。Bellingcat が試験運用後に標準ツールとして採用。

- **OSINT-GPT、FraudGPT の対極**: 悪性 LLM(FraudGPT、WormGPT)が詐欺 / フィッシングに使われる分、OSINT 側でも LLM を防衛インテリジェンスへ積極導入。

- **クラスタリング・翻訳**: 多言語 Telegram / X 投稿の自動翻訳・クラスタリングを行う OSS パイプライン(Hugging Face Inference Endpoints + sentence-transformers)が標準化した。

ただし LLM は **ハルシネーション** リスクがあるので、OSINT 領域では「LLM が抽出したエンティティは必ず人手で検証する」が鉄則になった。

TheHive / MISP — 協業インシデント対応プラットフォーム

OSINT 結果をチームで共有・追跡するには協業プラットフォームが必要だ。

- **TheHive 5.x**: StrangeBee が運営する SIRP(Security Incident Response Platform)。ケース管理 + IOC + observable + task。OSS Community Edition + Enterprise。

- **MISP(Malware Information Sharing Platform)**: 欧州 CERT-EU 由来の OSS。IOC 共有・分類・連合インデックスの標準。2026 年時点で 70 か国以上の CERT インスタンスが連合する。

- **Cortex**: TheHive の姉妹プロジェクト。observable analyzer をモジュール化。VirusTotal、Shodan、MISP 等をモジュールとして呼ぶ。

- **YETI**: 脅威インテリジェンス プラットフォーム。IOC + TTPs + actor グラフ。

- **OpenCTI**: Filigran(フランス)運営。MITRE ATT&CK + STIX 2.1 ベース。欧州政府 CERT での採用が多い。

このカテゴリは OSINT の成果物を「一回限りの分析」から「組織資産」へ格上げする要だ。個人調査で終わるなら過剰だが、チーム OSINT はほぼ常に MISP か OpenCTI を導入する。

ワークフロー標準化 — 7 ステップ OSINT サイクル

2026 年時点の市民 OSINT / CTI 領域の標準ワークフローは 7 ステップにまとまる。

1. **目標定義(planning)**: 何を、なぜ、誰のために調査するか。倫理的・法的根拠の確認。

2. **収集(collection)**: passive(公開情報の照会)優先。active(相互作用を生じる)ステップは最小限。

3. **処理(processing)**: 非定型データの整形。PDF / 画像 / HTML から IOC・エンティティを抽出。

4. **分析(analysis)**: グラフ化・可視化・タイムライン作成。Maltego / Aleph / Cytoscape。

5. **検証(verification)**: ソースの多元化、クロスチェック、反証可能性の検討。Bellingcat 標準。

6. **報告(reporting)**: 仮説・証拠・信頼度を併記し、出所と時刻を添付する。

7. **事後管理(retention)**: データ最小化・保管期間・削除・アクセス管理。

このサイクルは政府 IC(Intelligence Community)の OSINT サイクルを市民 OSINT 文脈に移したもので、2020 年代後半の多くの OSINT トレーニングプログラムで公式カリキュラムになった。

ツール選定ガイド — どの組合せから始めるか

OSINT を始めるときの推奨順序は次のとおり。

1. **無料ツールから開始**: Sherlock、theHarvester、Spiderfoot CE、Maigret、Cytoscape。1 週間ずつ回す。

2. **検索 / 逆検索**: Yandex、Google Lens、TinEye をブックマーク。あらゆる案件で画像逆検索は 5 分以内に済ませる。

3. **インフラ**: Shodan(学生ライセンス)、Censys 無料枠、URLscan、VirusTotal。ドメイン / IP 調査の一次ツール。

4. **人物 / アカウント**: OSINT Industries はコストが大きい。最初は Epieos + Sherlock + Maigret で十分。

5. **漏洩 DB**: HIBP は無料 / 合法。DeHashed / Intelligence X は合法性検討後に。

6. **リンク分析**: Maltego Community は学習用。本格運用が必要になってから Professional か Aleph に移行。

7. **自動偵察**: Spiderfoot CE をセルフホスト。CLI 派なら Recon-ng を追加。

8. **CTF**: OSINT Dojo -> Cyber Detective -> Trace Labs CTF の順。

9. **協業**: 単独作業はメモのみ。チームなら TheHive + MISP を導入。

10. **AI 強化**: Claude / ChatGPT を非定型テキストの triage に。結果は必ず人手で検証する。

最大の落とし穴は「最初から全ツールを揃えようとする欲」だ。**1 カテゴリ(例: 人物調査)に 1 週間集中** する学習パターンが最も上達が速い。

おわりに — 2026 年 5 月、OSINT は「民主化された、ただし責任も増えた」

本稿の結論は 2 つ。1 つ目は、OSINT は 5 年前とは比較にならないほど民主化された。無料ツール + LLM 強化により、市民・記者・調査担当者の誰もが本格的な調査を実行できる。2 つ目は、責任もそれだけ大きくなった。EU AI Act、GDPR、韓国 / 日本の個人情報保護法、ストーカーウェア懸念が同時に圧力を掛け、「何でも検索してみる」時代は終わった。

ツール選定より重要なのは **方法論** だ。Bellingcat ワークブックの 1 から 2 章を実際に手で追ってみる方が、OSINT ツールを 30 種類インストールするより遥かに価値が大きい。どのツールを使うにしても、「出所、時刻、信頼度」の 3 種メタデータ無しに結果を記録しない。この 1 つの習慣だけで OSINT の 9 割は片が付く。

References

- Maltego 公式ドキュメント: https://docs.maltego.com/

- Spiderfoot 公式: https://www.spiderfoot.net/

- Recon-ng GitHub: https://github.com/lanmaster53/recon-ng

- theHarvester GitHub: https://github.com/laramies/theHarvester

- Sherlock GitHub: https://github.com/sherlock-project/sherlock

- Maigret GitHub: https://github.com/soxoj/maigret

- WhatsMyName Web: https://whatsmyname.app/

- OSINT Industries 公式: https://www.osint.industries/

- Epieos 公式: https://epieos.com/

- Hunter.io 公式: https://hunter.io/

- TinEye 公式: https://tineye.com/

- Pimeyes 公式: https://pimeyes.com/

- Yandex Images: https://yandex.com/images/

- SunCalc: https://www.suncalc.org/

- Mapillary: https://www.mapillary.com/

- GeoSpy AI: https://geospy.ai/

- Shodan 公式: https://www.shodan.io/

- Censys 公式: https://censys.io/

- SecurityTrails 公式: https://securitytrails.com/

- VirusTotal: https://www.virustotal.com/

- URLscan.io: https://urlscan.io/

- HaveIBeenPwned: https://haveibeenpwned.com/

- DeHashed 公式: https://www.dehashed.com/

- Intelligence X: https://intelx.io/

- LeakIX: https://leakix.net/

- Bellingcat: https://www.bellingcat.com/

- OCCRP Aleph: https://aleph.occrp.org/

- Forensic Architecture: https://forensic-architecture.org/

- Trace Labs: https://www.tracelabs.org/

- OSINT Dojo: https://www.osintdojo.com/

- TheHive Project: https://thehive-project.org/

- MISP Project: https://www.misp-project.org/

- OpenCTI: https://www.filigran.io/en/products/opencti/

- EU AI Act テキスト: https://artificialintelligenceact.eu/

- 韓国個人情報保護委員会: https://www.pipc.go.kr/

- 日本 個人情報保護委員会: https://www.ppc.go.jp/

- JPCERT/CC: https://www.jpcert.or.jp/

- NICT NICTER: https://www.nicter.jp/

현재 단락 (1/225)

5年前まで OSINT(Open Source Intelligence)は情報機関、一部の調査報道、一部のセキュリティチームの専有領域に近かった。2026年5月現在、その境界はほぼ消えた。**調査報...

작성 글자: 0원문 글자: 17,177작성 단락: 0/225