「うちはまだ攻撃されるほど有名じゃないから」── そう思っていませんか？

実は攻撃者が最初にやることは、ターゲット企業に関する 下調べ です。
このときに使われるのが、Googleや公開データベースなどから情報を集める「OSINT」という手法です。

この記事では、OSINTとは何か・なぜ危険なのか・どう対策するかを初学者の方にもわかりやすく解説します。

OSINTとは何か

OSINT（オシント）は Open Source Intelligence の略で「公開されている情報を収集・分析して活用できる状態にする手法」 のことです。

もともとは軍や諜報機関が使っていた概念で「特定の情報要件に対処する目的で、一般に入手可能な情報を収集・利用し、適切な対象者に適時に普及させた情報」と定義されています。

現在はサイバー攻撃の下準備としても広く使われており、特別なツールやスキルは必要ありません。
検索エンジン、SNS、求人サイト、企業HP、GitHubなど、誰でも無料でアクセスできる情報がOSINTの素材です。

 OSINTはサイバー攻撃のどこに位置するのか

MITRE ATT&CK（サイバー攻撃の戦術・手法を体系化したフレームワーク）では、OSINTを含む情報収集活動を 「Reconnaissance（偵察）」 タクティクスとして最初のフェーズに位置づけています。

 

攻撃の流れを大まかに整理すると、次のようになります。

偵察 → 初期侵入 → 内部展開 → 目的の実行

OSINTはこの「偵察」フェーズで使われます。
攻撃者はここで収集した情報をもとに、どの手口で侵入するかを決定します。

つまり、侵入が始まった時点では、すでに攻撃者は自社のことをある程度把握しています。
セキュリティ対策を「侵入後」だけに集中させていると、最初のフェーズを見落としたままになります。

攻撃者はOSINTをどう使っているのか

攻撃者はターゲットを決めたあと、実際の侵入前に偵察フェーズとして情報収集を行います。
その主な調査対象は以下の4つです。

調査対象 01 ── 従業員情報

コーポレートサイトなど社内情報を発信している媒体で、部署・役職・技術スタックを把握します。
「営業部・部長・SalesforceとZoomを使用」といった情報が揃えば、攻撃者はその人物に向けたフィッシングメールの文面を精度高く組み立てられます。
採用強化中の企業ほど、公開情報が充実しており狙われやすい傾向があります。

調査対象 02 ── ドメイン・IPアドレス

Shodan・Censysといった検索エンジンで、インターネットに公開されているサーバのIPアドレス・開放ポート・ソフトウェアバージョンが確認できます。
「このバージョンには既知の脆弱性（CVE）がある」と判明した時点で攻撃者は自動ツールで侵入を試みます。
パッチ未適用のサーバは、こうして発見・標的化されます。

※Shodan（ショーダン）／Censys（センシス）　…　インターネットに接続されたサーバーやIoT機器を検索できるエンジン。

調査対象 03 ── ソースコード・設定ファイル

GitHubの公開リポジトリにAPIキーやパスワードが誤ってコミットされているケースは後を絶ちません。
一度公開されたシークレットは、削除後も自動クロールによってすでに取得済みである可能性があります。
企業のSNSやサポート窓口でのやりとりが、使用システムや構成の手がかりになるケースも少なくありません。

調査対象 04 ── メールアドレスの命名規則

Hunter.ioなどのツールで会社のメール形式（taro.yamada@〇〇.co.jp 等）を特定し、標的型攻撃のリストを作成します。命名規則さえ分かれば未公開のアドレスも推測可能です。
フィッシングメールの送付先リストが公開情報だけで完成してしまいます。
これらの情報を組み合わせると攻撃者は「どの社員に、どんな内容で、どのシステムを狙えばいいか」をほぼ把握できてしまいます。

※Hunter.io（ハンターアイオー）　…　企業のドメインを入力するだけで、その会社で使われているメールアドレスを一覧表示できる無料ツール。

なぜ対策しなければならないのか

公開情報を見られるだけなら問題ないのでは？── そう思う方もいるかもしれません。
しかし、OSINTで集めた情報は次の攻撃につながります。

---

1.標的型フィッシング（スピアフィッシング）
攻撃者は企業のWebサイトやSNS、プレスリリースなどから情報を調べ上げ、まるで実在する担当者から送られてきたような精度の高いメールを作成して受信者をだまします。
担当者名・業務内容を使ったリアルな偽メールで、認証情報の詐取やマルウェア感染を引き起こします。

2. 脆弱性スキャン
外部公開サービスのバージョン情報から、既知の脆弱性（CVE）を突いた攻撃を自動実行します。
パッチを当てていない古いソフトウェアは、公開情報だけで発見・悪用されます。
対応が数日遅れるだけで侵入口になり得ます。

3.クレデンシャルスタッフィング
過去の情報漏洩データベースと照合し、同じパスワードを使い回している社員アカウントへ不正ログインを試みます。
「他サービスで漏洩した認証情報」が、自社システムへの侵入に転用されるケースです。
多要素認証を導入していない環境では特にリスクが高くなります。

OSINTは防御にも使える

一方で、OSINTは攻撃者だけのものではありません。
同じ手法を使って「自社が外からどう見えているか」を確認することができます。

セキュリティ担当者がOSINTを活用する目的は、攻撃者に先んじて自社の露出面を把握することです。
公開情報の中に不要なリスクが含まれていれば侵入される前に対処できます。
特別なツールや予算は必要ありません。
攻撃者と同じ検索エンジンや公開データベースを使って、自社を検索してみるだけで始められます。

ここでは、今日から実施できる具体的なアクションを紹介します。

具体的な対策：4つのアクション

① 自社の「外から見える情報」を棚卸しする

セキュリティ対策は「守る側」の視点で考えがちですが、攻撃者は「外から見える情報」をもとに動きます。
自社のシステムや社員について、外部からどこまで見えているかを把握していない状態は、それ自体がリスクです。

まず必要なのは、攻撃者と同じ視点で自社を見る習慣を持つことです。
情報は日々変化します。新しい社員が入れば公開プロフィールが増え、新しいシステムを導入すれば外部公開の範囲が変わります。
一度確認して終わりではなく、定期的に「今、何が見えているか」を確認し続けることが重要です。

② GitHubなどのコードリポジトリを定期監査する

開発者は「コードを公開している」という意識は持っていても、「認証情報が混入しているかもしれない」という視点は持ちにくいものです。「今まで問題が起きていない」は、「気づいていないだけ」である可能性があります。

重要なのは、リポジトリを「コードの置き場所」ではなく「外部から検索される情報源」として捉え直すことです。一度コミットされた情報は履歴に残り続けます。ファイルを削除しても、履歴をさかのぼれば取得できます。「公開した覚えがない」では済まない性質のものです。

③ 公開する情報の基準を作る

採用・広報・マーケティングの現場では、情報を積極的に発信することが目的です。一方でセキュリティの観点では、公開する情報は最小限が原則です。この二つの目的が衝突したとき、基準がなければ個人の判断に委ねられてしまいます。

「知られてもいい情報」と「知られたくない情報」を事前に分類しておくことで、その都度判断する手間がなくなります。また、情報は一度公開すると回収が難しい性質があります。出す前に考える文化を組織として持てるかどうかが、長期的なリスク管理につながります。

④ 従業員へのセキュリティ意識教育

情報漏洩の多くは、悪意のある行為ではなく無自覚な発信から始まります。SNSへの投稿・社外での会話・採用イベントでの説明など、日常業務の中に攻撃者が利用できる情報が紛れ込んでいます。

ルールで縛るだけでは限界があります。「なぜその情報がリスクになるのか」を理解している社員は、ルールに書かれていない場面でも適切な判断ができます。

まとめ

– OSINTは公開情報を使った情報収集手法で、サイバー攻撃の偵察フェーズに悪用される
– 攻撃の偵察フェーズでは、従業員情報・ドメイン・ソースコード・メール命名規則などが主にOSINTで調査される
– 収集された情報はフィッシング・脆弱性攻撃・不正ログインへ直結する
– 防御の出発点は「攻撃者の目線で自社を見る」習慣を持つこと

攻撃者はすでに動いています。対策の第一歩は自社が外からどう見えているかを把握することです。
特別なスキルも予算も必要ありません。まず検索してみることから始めましょう。

次回は実際にOSINTで使われるツールとそれを使った診断の方法を紹介します。

参考資料

– IPA「情報セキュリティ10大脅威 2026」
https://www.ipa.go.jp/security/10threats/10threats2026.html
情報処理推進機構（IPA）が毎年発行する、国内で特に注意すべき脅威のランキング。フィッシングや標的型攻撃など、実際の被害動向をもとに選定されている。

– MITRE ATT&CK「Reconnaissance（TA0043）」
https://attack.mitre.org/tactics/TA0043/
サイバー攻撃の戦術・手法を体系化した国際的なフレームワーク。本記事で紹介した偵察フェーズの詳細な手法が網羅されており、自社の対策検討にも活用できる。

– CISA/NSA/FBI「Phishing Guidance: Stopping the Attack Cycle at Phase One」（2023）
https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one
米国の政府機関3社が共同で発行したフィッシング対策ガイダンス。攻撃サイクルの初期段階での防御に焦点を当てており、技術的な対策から組織的な対応まで幅広くカバーしている。