無料からプロ仕様まで!?OSINTツールまとめ【情報収集・セキュリティ研究】


サイバーセキュリティの調査やリサーチの第一歩は、対象に関する正確な情報を集めることから始まります。

OSINT(オープンソース・インテリジェンス)は、そのために欠かせない武器です。公開されている情報を正しく収集・分析することで、組織防御の強化やリスク発見、調査の効率化につながります。

本記事では、無料で気軽に使えるツールから、プロ向けの有料サービスまで幅広く紹介し、用途ごとの活用イメージも整理しました。

1) OSINTの立ち位置と注意点(超要約)

  • OSINT(Open Source Intelligence) は公開情報からの収集・分析。ブルー/レッド/パープルいずれの現場でも重要な“偵察・インテリジェンス基盤”、すなわち外部からの見え方を整理するための土台。

  • 合法性:規約違反・過度な負荷・未許可スキャンはNG。企業の許可範囲法令(不正アクセス/個人情報/名誉毀損等)を厳守。

  • 再現性:調査過程をあとから追跡できるよう、検索クエリや実行日時を含むログを残す。利用したサービスのAPIキーやクォータを適切に管理し、制限超過や不整合を防ぐ。得られた生データはCSV/JSONなどに整形して保存し、さらに可視化や差分比較まで行うことで、同じ手順を繰り返しても同等の結果が得られるようにする。

  • M&A/サプライチェーン外部SaaSにもリスクは広がる。外縁まで視野を。


2) 用途別マップ(課題:推奨ツール)


3) ツール一覧

表示順:フレームワーク/可視化 → 資産探索 → ドメイン/人/メタデータ → 監査/スキャン

3.1 フレームワーク/可視化・自動化

  • OSINT Framework(無料・カタログ)
    目的別に関連ツールへ導線を引く“索引”。まずここから俯瞰。

  • Maltego(無料/有料)
    エンティティ間の関係をグラフで可視化。トランスフォームで外部データ連携。

  • Recon-ng(無料)
    MetasploitライクなUXでWebリコン自動化。モジュール豊富、API鍵管理も容易。

  • SpiderFoot(無料/有料)
    100+ソースへ自動クエリ、資産・人・漏えい痕跡をまとめて収集/可視化。

  • IVRE(無料)
    Nmap/Masscan/ZDNSなどの出力をMongoDBで統合・Webで分析できる“OSINT SIEM”的基盤。

3.2 露出資産・IoT・サービス探索(攻守で必須)

  • Shodan(無料/有料)
    露出デバイス/サービス検索の定番。バナーやオープンポートから攻撃面把握

  • Censys(無料/有料)
    証明書・ホスト・HTTP/TLS詳細が強み。証明書ピボットで関連資産を深掘り。

  • ZoomEye(無料/有料)
    中国発のIoT/サービス検索。Shodan/Censysに並ぶサードオピニオン

  • BuiltWith(無料/有料)
    対象サイトの技術スタック(CMS/JS/CSS/サーバー/ホスティング等)特定。

3.3 ドメイン・メール・サブドメ・アカウント

  • theHarvester(無料)
    メール・サブドメ・VHost・ポート・社員名などを公開ソース横断で収集

  • Fierce(無料)
    DNSまわりのゾーン/誤設定探索。古典だが今も現役。

  • Unicornscan(無料)
    高速・柔軟なスキャン/バナー取得。研究用途向き。

  • CheckUserNames(無料)
    同一ユーザー名の多SNS横断チェック。アカウント名特定の起点に。

  • GHunt(無料)
    Googleアカウントの公開痕跡調査(レビュー/写真/サービス有効化状況など)。

  • Telegago(無料)
    Telegram公開チャンネル/グループをGoogleベースで横断検索。内部検索より見つかること多し。

3.4 メタデータ抽出/文書・画像・メディア

  • FOCA(無料)
    公開文書(PDF/Office等)からメタデータ抽出、隠れた情報の把握に有効。

  • Metagoofil(無料)
    検索エンジン経由で対象ドメインの文書を収集→メタデータ解析

  • ExifTool(無料)
    画像/動画/音声のEXIF/IPTC/XMPなどを読み書き。位置情報・撮影機材など痕跡確認。

3.5 監査・脆弱性・ポートスキャン

  • Nmap(無料)
    ホスト/ポート/OS/サービス検出の標準。スクリプト(NSE)で拡張。

  • WebShag(無料)
    HTTP/HTTPS監査(URLスキャン/ファジング/クローリング/プロキシ経由など)。

  • OpenVAS(無料)
    オープンソースの脆弱性スキャナ。マネージャで結果を蓄積・絞り込み。


4) クイックレシピ:最短で成果を出す手順例

レシピA:自社/対象ドメインの外縁資産を30分で把握

  1. Censys/Shodan/ZoomEyeで対象ドメイン/ASN/証明書からピボット → 露出サービス一覧。

  2. BuiltWithでWeb技術・CDN・WAF・アナリティクスIDを取得。

  3. theHarvesterでメール/サブドメ/社員名候補を収集。

  4. IVREにNmap結果を取り込み、ホスト/ポート/サービスを可視化&差分管理

レシピB:社外に散ったファイルとメタ情報の痕跡発見

  1. Metagoofil/FOCAでPDF/Officeを検索→DL→ユーザー名/ホスト名/ソフトを抽出。

  2. ExifToolで画像群を一括解析→位置情報/撮影機種/編集履歴を確認。

  3. 収集したID・ホスト名でRecon-ngのモジュールを再実行→関連を芋づる式に。


5) 導入・運用のコツ(実務で効くポイント)

  • API鍵の分離:個人検証用/案件用/CI用でキーを分離し、失効手順を整備。

  • 結果の正規化:CSV/JSON/SQLiteに統一。タイムスタンプ/ソース/クエリを必ず記録。

  • 差分志向:IVREやノートブックで前回との差分を見る運用に。変化点=リスクの種。

  • 負荷・礼節:並列度/レート制限は相手に優しく。robotsやToS順守。

  • レポートの“行動可能性”:発見→担当/期限/是正案まで落とし込む(例:古いDNSレコード削除期限、担当者割当)。


6) 用語ミニガイド

  • Passive/Active Recon:受動(公開情報照会)/能動(スキャン送信)。許可範囲を厳守。

  • Pivot(ピボット):証明書・アナリティクスID・NSなど共通点から関連資産へ“横展開”。

  • Banner:サービスが返す識別情報。バージョン露出はリスク。

  • Metadata:文書/画像に埋まる付帯情報。作成者/機材/座標/ソフト名など。


まとめ

OSINTを効果的に活用するためには、まず全体像を俯瞰し、次に重要な部分を深掘りし、その結果を可視化して関係性を明らかにし、最後に具体的な是正アクションへつなげるというサイクルを回すことが重要です。

本記事で紹介したツール群は、無料と有料を横断しながら、技術資産の把握から人物調査、公開文書や画像のメタデータ解析までを一気通貫でカバーできる構成になっています。現場での実務では、Shodan/Censys/ZoomEyeによる外部露出資産の確認、BuiltWithによる技術スタック把握、theHarvester/Recon-ngによるドメインやメールの収集、さらにFOCA/Metagoofil/ExifToolによる文書・画像解析、そしてNmap/IVREによるネットワーク可視化を基盤とするのが効果的です。

加えて、案件ごとの要件に応じてGHuntやTelegagoといったアカウント・SNS検索ツールを補完的に利用すれば、より再現性の高い調査が可能になります。国内では活用が限られる公開記録系や車両履歴系のサービスもありますが、適法性と実用性を確認しつつ組み合わせることで、より広範で実践的なOSINT環境を構築できるでしょう。

出典①:Top 25 OSINT Tools for Penetration Testingアーカイブ

出典②:Best Paid and Free OSINT Tools for 2024アーカイブ