32blogby StudioMitsu

OSINT入門|自分の個人情報がどこまで漏れているか調べる方法

メールアドレス・パスワード・位置情報。あなたの個人情報はどこまでネットに公開されているか。合法的なセルフチェック手順を5ステップで解説。

16 min read
securityprivacyNordPassNordVPNdata-breach

当記事にはアフィリエイト広告が含まれています

目次

あなたのメールアドレスは、過去に何回漏洩しているか知っているだろうか。

Have I Been Pwned によると、2026年3月時点で 175億件以上 のアカウント情報が流出データベースに登録されている。つまり、インターネットを使っている人の大半は、何らかの形で情報が漏れている可能性が高い。

この記事では OSINT(Open Source Intelligence) の手法を使って、自分の個人情報がどこまでネットに公開されているかを調べる方法を5ステップで解説する。攻撃者が使うのと同じ手法で自分をチェックすることで、弱点を先に見つけて対策できる。

データ露出個人情報が公開状態調査OSINTツール合法的に収集分析監査漏洩範囲を特定修復対策実行削除・変更・強化

OSINTとは何か(30秒で理解する)

OSINT(Open Source Intelligence)は、 誰でもアクセスできる公開情報を収集・分析する手法 だ。「オシント」と読む。

もともとは諜報機関や軍が使っていた用語だが、現在はセキュリティ監査、ジャーナリズム、企業の脅威分析など幅広い分野で使われている。

身近な例を挙げると:

  • Googleで自分の名前を検索する → これもOSINTだ
  • メールアドレスが漏洩していないか確認する → これもOSINTだ
  • SNSのプロフィールからどんな情報が読み取れるか確認する → これもOSINTだ

つまり「特別なハッキング技術」ではなく、 公開されている情報を体系的に集めて分析すること がOSINTの本質だ。

Googleダークウェブレポート終了後の選択肢

Googleは2026年2月16日に ダークウェブレポート の提供を終了した。Gmailユーザーが無料で自分のメールアドレスの漏洩を確認できる便利なサービスだったが、もう使えない。

代替手段は複数ある:

サービス料金特徴
Have I Been Pwned無料最大のデータベース。メール入力だけで確認可
Mozilla Monitor無料(有料で削除支援)日本語対応。漏洩通知メール付き
NordPass Data Breach ScannerPremium付属メール・パスワード・クレカを24時間監視
Apple パスワード無料(Apple端末)iCloudキーチェーンの漏洩チェック

次のステップから、これらのツールを使って実際にセルフチェックをしていく。

Step 1: メールアドレスの漏洩を確認する

まず最も基本的なチェックから。自分のメールアドレスが過去のデータ漏洩に含まれていないか確認する。

Have I Been Pwned(無料)

  1. https://haveibeenpwned.com/ にアクセス
  2. メールアドレスを入力して「pwned?」をクリック
  3. 結果が表示される

「Oh no — pwned!」と赤い画面が出たら、そのメールアドレスは過去の漏洩に含まれている。どのサービスから漏れたか(LinkedIn、Adobe、Dropbox等)も表示される。

bash
# APIで確認する場合(開発者向け)
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/your@email.com" \
  -H "hibp-api-key: YOUR_API_KEY" | jq '.[].Name'

複数アドレスがある場合

仕事用・個人用・古いアドレスなど、全てチェックすること。特に古いアドレスほど漏洩している確率が高い。

漏洩が見つかった場合、まずパスワードを変更する。さらに継続的に監視したいなら、NordPass の Data Breach Scanner がリアルタイムで新しい漏洩を通知してくれる。クレジットカード番号の監視にも対応しているのが強みだ。

Step 2: 自分の名前をネットで検索する

次に、Google検索で自分の名前を検索してみよう。攻撃者があなたの名前を調べたとき、何が見えるかを確認する。

基本の検索

text
"山田太郎" site:linkedin.com
"山田太郎" site:facebook.com
"山田太郎" filetype:pdf

引用符で囲むと完全一致検索になる。site: で特定サイト内に絞り、filetype:pdf で PDF文書に絞れる。

Google Dorking(自分の情報チェック用)

Google Dorking は検索演算子を駆使して情報を探すテクニックだ。自分自身やの情報チェックに使える。

text
"your@email.com" -site:自分のサイト.com
"あなたの電話番号"
"あなたの住所" filetype:pdf

意外な場所に自分の情報が掲載されていることがある。イベントの参加者リスト、古いフォーラムの投稿、PDFの署名欄などだ。

Google Alertsで継続監視する

  1. https://www.google.com/alerts にアクセス
  2. 自分の名前やメールアドレスを登録
  3. 新しい言及があるとメールで通知される

設定は1分で終わる。無料で使えるので、やらない理由がない。

Step 3: ユーザー名の使い回しを調べる

同じユーザー名を複数サービスで使っていると、1つのサービスからの情報流出が芋づる式に他のアカウントの特定につながる。

Sherlock(オープンソースツール)

Sherlockは400以上のサイトで特定のユーザー名が使われているか一括検索できるツールだ。

bash
# インストール
pip install sherlock-project

# 検索
sherlock your_username

結果を見て、使っていないサービスのアカウントがあれば削除を検討しよう。

Namechk(ブラウザで簡単に)

コマンドラインが苦手なら、https://namechk.com/ にアクセスしてユーザー名を入力するだけでOK。100以上のサイトを一括チェックしてくれる。

Step 4: 写真から位置情報が漏れていないか確認する

スマホで撮影した写真には EXIF(Exchangeable Image File Format) というメタデータが含まれている。GPS座標、撮影日時、カメラの機種名などだ。

ExifToolで確認する

bash
# インストール(Ubuntu/Debian)
sudo apt install libimage-exiftool-perl

# macOS
brew install exiftool

# メタデータを表示
exiftool photo.jpg

出力例:

text
GPS Latitude  : 35 deg 41' 22.20" N
GPS Longitude : 139 deg 41' 30.12" E
Create Date   : 2026:01:15 14:30:22
Camera Model  : iPhone 16 Pro

GPS座標が入っていたら、その写真をSNSにアップロードすると自宅や職場の場所が特定される可能性がある。

対策

  • SNS側の対処: X(旧Twitter)、Instagram、Facebookは投稿時にEXIFを自動削除する。ただしLINEのアルバム共有やメール添付では残る場合がある
  • 撮影時の対処: スマホの設定で「位置情報を写真に含める」をオフにする
  • 事後の対処: exiftool -all= photo.jpg でメタデータを一括削除できる

Step 5: 自分のIPアドレス・ドメインの露出を確認する

自宅のIPアドレスや、運営しているWebサイトのドメインがインターネットからどう見えているか確認する。

Shodan(IoT検索エンジン)

Shodanはインターネットに接続されたデバイスを検索できるサービスだ。自分のIPアドレスを検索して、外部からどのポートが見えているか確認できる。

  1. https://www.shodan.io/ にアクセス(無料アカウント登録が必要)
  2. 自分のIPアドレスを検索

開いているはずのないポートが見えていたら、ファイアウォールの設定を見直そう。

自サイトのドメイン情報を確認する

bash
# WHOIS情報の確認
whois yourdomain.com

# DNSレコードの確認
dig yourdomain.com ANY

WHOIS情報に個人の住所や電話番号が公開されている場合、ドメインレジストラのプライバシー保護サービスを有効にしよう。

漏洩が見つかったら今すぐやるべき3つのこと

セルフチェックで漏洩や露出が見つかった場合、以下の3つを優先的に実行する。

1. パスワードを全て変更する

漏洩が確認されたサービスはもちろん、同じパスワードを使い回していた全てのサービスのパスワードを変更する。

手動で全サービスのパスワードを変更するのは現実的ではない。パスワードマネージャーを使って、サービスごとにユニークで強力なパスワードを生成・管理するのが最善だ。NordPass ならパスワード生成から漏洩監視まで一元管理できる。

2. 二要素認証(MFA)を有効にする

パスワードが漏洩していても、MFAが有効なら不正ログインを防げる。特に以下のサービスは最優先:

  • メールアカウント(全てのパスワードリセットの起点になる)
  • 銀行・金融サービス
  • SNS(なりすまし防止)
  • クラウドストレージ

3. デジタルフットプリントを削減する

  • 使っていないアカウントを削除する
  • SNSのプロフィールから不要な個人情報を削除する
  • 写真のEXIF情報を確認して位置情報を消す
  • データブローカーサイトに情報削除を請求する(GDPR圏なら法的に可能)
  • VPNを常時使用してIPアドレスの追跡を防ぐ
NordPass

NordVPN開発元のパスワードマネージャー

  • パスワード・パスキー・クレカ情報を一元管理
  • ゼロ知識アーキテクチャ(運営側も閲覧不可)
  • データ漏洩スキャナー搭載

OSINTと法律 — 合法と違法の境界線

OSINTの手法自体は「公開情報の収集」であり、原則として合法だ。ただし 何を、誰の情報を、どう使うか によって法的リスクが変わる。

合法なケース

行為根拠
自分のメールアドレスの漏洩を確認する自分の情報、公開サービスの利用
自分の名前をGoogle検索する公開情報の閲覧
自分のサイトでGoogle Dorkingを行う自分の管理下のドメイン
自分のIPアドレスをShodanで確認する自分の情報

違法になりうるケース

行為リスク
他人のアカウントに不正ログインする不正アクセス禁止法違反(3年以下の懲役)
漏洩データベースから他人のパスワードを取得する不正アクセス禁止法(不正取得)
他人の個人情報を無断で公開するプライバシー侵害、名誉毀損
企業のシステムに対してスキャンを行う不正アクセス禁止法に抵触する可能性

覚えておくべきルール

日本: 不正アクセス禁止法は「アクセス制御機能を持つシステムへの不正アクセス」を禁じている。公開情報の閲覧は対象外だが、ログインが必要なシステムに無断でアクセスすれば違法だ。

EU(GDPR): データ主体は自分のデータについて開示・修正・削除を請求できる。データブローカーに自分の情報の削除を要求するのは完全に合法であり、応答期限は1カ月以内と定められている。

米国(CCPA): カリフォルニア州の住民は、企業が収集した自分の個人情報の開示・削除・販売停止を請求できる。

まとめ

OSINTは「自分の情報がどこまで見えているか」を知るための強力な手段だ。特別なスキルがなくても、この記事の5ステップを実行すれば、攻撃者と同じ視点で自分のデジタルフットプリントを確認できる。

Googleダークウェブレポートが終了した今、自分の情報を守るのは自分自身だ。まずはHave I Been Pwnedでメールアドレスをチェックすることから始めてほしい。そこで漏洩が見つかったら、パスワードの変更とMFAの有効化を最優先で実行しよう。

関連記事: