国内で OSINT の第一人者といえば一般社団法人日本ハッカー協会の杉浦 隆幸 氏の名が挙がるだろう。杉浦氏はハッカーの法的支援の社会活動のかたわらで、世界各国で開催される CTF にエントリーし、2023 年 DEFCON の「OSINT CTF」で優勝もしている。 いまや国際的にも OSINT の第一人者といえる。
能動的サイバー防御法案の時代、そろそろ政府に雇われて仕事をしたらいいのではと本気で思うのだが、そもそも OSINT はそれを受け取って判断をする意思決定層にまともな人間がいないと意味がないから、依頼されても固辞しているのではないかと推測している。
さて、その杉浦氏が本気を出したら、いったいどこまで情報は得られるのだろうか? そんなライブ感あふれる講演が行われるのが春秋で開催されるカンファレンス Security Daysである。
本稿は Security Days Spring 2024 の講演レポートである(なお、本日 3 月 11 日 (火) から開催中の Security Days Spring 2025 で、明日 3 月 12 日(水) 午前 9 時から杉浦氏の最新講演『ASM王者が示す ─ “真のアタックサーフェイス” 再発見術』が行われる)。
● 組織・企業を OSINT する
Security Days ではほぼ毎回、杉浦氏の OSINT をテーマとしたセミナー枠が設けられている。朝 9 時スタートに関わらず入場時は行列ができる人気セミナーで、筆者はここ数年毎回取材している。
セミナーは OSINT の概要や注意点、脆弱性の発見などセキュリティ対策への活用方法を解説するものだ。毎回取材しているのは、同じ内容の使いまわしではなく常に視点を変えて、新しいツールや OSINT の考え方をフレッシュに示してくれるからだ。気のせいかもしれないが、ときおり壇上の杉浦氏のハードボイルドな視線が筆者に届く気がする。「また SCAN が取材に来たか」という激励と受け取っている。
杉浦氏は今回の講演では、組織や企業・個人に対する OSINT をテーマに選んだ。これまではサーバーやウェブサイトなどサイバー空間を対象にしていたが、OSINT の対象は組織や人も含まれる。インテリジェンスの本流はむしろこちらかもしれない。
組織の OSINT の基本は法人の登記情報である。公開されておりだれでも閲覧できる情報だが、なにがわかるのだろうか。じつは、会社名、法人番号、その変更履歴、所在地などは組織を特定するためのよりどころだ。誤爆を避けるためにも重要だし、法人番号などがわかれば、さまざまな検索や情報収集の足掛かりになる。
