OSINT入門｜自分の個人情報がどこまで漏れているか調べる方法

あなたのメールアドレスは、過去に何回漏洩しているか知っているだろうか。

Have I Been Pwned によると、2026年3月時点で 175億件以上 のアカウント情報が流出データベースに登録されている。つまり、インターネットを使っている人の大半は、何らかの形で情報が漏れている可能性が高い。

この記事では OSINT（Open Source Intelligence） の手法を使って、自分の個人情報がどこまでネットに公開されているかを調べる方法を5ステップで解説する。攻撃者が使うのと同じ手法で自分をチェックすることで、弱点を先に見つけて対策できる。この手順で自分を調べてみると、何年も前に登録した海外フォーラムのアカウントから本名やメールが漏洩しているのが見つかるケースは珍しくない。

OSINTとは何か（30秒で理解する）

OSINT（Open Source Intelligence）は、 誰でもアクセスできる公開情報を収集・分析する手法 だ。「オシント」と読む。

もともとは諜報機関や軍が使っていた用語だが、現在はセキュリティ監査、ジャーナリズム、企業の脅威分析など幅広い分野で使われている。

身近な例を挙げると:

• Googleで自分の名前を検索する → これもOSINTだ
• メールアドレスが漏洩していないか確認する → これもOSINTだ
• SNSのプロフィールからどんな情報が読み取れるか確認する → これもOSINTだ

つまり「特別なハッキング技術」ではなく、 公開されている情報を体系的に集めて分析すること がOSINTの本質だ。

Googleダークウェブレポート終了後の選択肢

Googleは2026年2月16日に ダークウェブレポート の提供を終了した。Gmailユーザーが無料で自分のメールアドレスの漏洩を確認できる便利なサービスだったが、もう使えない。

代替手段は複数ある:

次のステップから、これらのツールを使って実際にセルフチェックをしていく。

Step 1: メールアドレスの漏洩を確認する

まず最も基本的なチェックから。自分のメールアドレスが過去のデータ漏洩に含まれていないか確認する。

Have I Been Pwned（無料）

1. haveibeenpwned.com にアクセス
2. メールアドレスを入力して「pwned?」をクリック
3. 結果が表示される

「Oh no — pwned!」と赤い画面が出たら、そのメールアドレスは過去の漏洩に含まれている。どのサービスから漏れたか（LinkedIn、Adobe、Dropbox等）も表示される。漏洩したパスワードがどう悪用されるか気になるなら、パスワードクラッキングの仕組みも読んでみてほしい。

# APIで確認する場合（開発者向け）
# ドキュメント: https://haveibeenpwned.com/API/v3
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/your@email.com" \
  -H "hibp-api-key: YOUR_API_KEY" | jq '.[].Name'

複数アドレスがある場合

仕事用・個人用・古いアドレスなど、全てチェックすること。特に古いアドレスほど漏洩している確率が高い。

漏洩が見つかった場合、まずパスワードを変更する。さらに継続的に監視したいなら、NordPass の Data Breach Scanner がリアルタイムで新しい漏洩を通知してくれる。クレジットカード番号の監視にも対応しているのが強みだ。

Step 2: 自分の名前をネットで検索する

次に、Google検索で自分の名前を検索してみよう。攻撃者があなたの名前を調べたとき、何が見えるかを確認する。

基本の検索

"山田太郎" site:linkedin.com
"山田太郎" site:facebook.com
"山田太郎" filetype:pdf

引用符で囲むと完全一致検索になる。site: で特定サイト内に絞り、filetype:pdf で PDF文書に絞れる。

Google Dorking（自分の情報チェック用）

Google Dorking は検索演算子を駆使して情報を探すテクニックだ。自分自身の情報チェックに使える。

"your@email.com" -site:自分のサイト.com
"あなたの電話番号"
"あなたの住所" filetype:pdf

自分のメールアドレスでDorkingしてみると、イベントの参加者リスト、古いフォーラムの投稿、カンファレンスのスライドPDFなど、意外な場所に情報が残っていることがある。何年もGoogleにインデックスされたままというケースも珍しくない。

Google Alertsで継続監視する

1. Google Alerts にアクセス
2. 自分の名前やメールアドレスを登録
3. 新しい言及があるとメールで通知される

設定は1分で終わる。無料で使えるので、やらない理由がない。

Step 3: ユーザー名の使い回しを調べる

同じユーザー名を複数サービスで使っていると、1つのサービスからの情報流出が芋づる式に他のアカウントの特定につながる。

Sherlock（オープンソースツール）

Sherlock は400以上のサイトで特定のユーザー名が使われているか一括検索できるツールだ。

# インストール
pip install sherlock-project

# 検索
sherlock your_username

結果を見て、使っていないサービスのアカウントがあれば削除を検討しよう。放置アカウントは攻撃者にとって格好の標的だ。

Namechk（ブラウザで簡単に）

コマンドラインが苦手なら、namechk.com にアクセスしてユーザー名を入力するだけでOK。100以上のサイトを一括チェックしてくれる。

Step 4: 写真から位置情報が漏れていないか確認する

スマホで撮影した写真には EXIF（Exchangeable Image File Format） というメタデータが含まれている。GPS座標、撮影日時、カメラの機種名などだ。

ExifToolで確認する

ExifTool は画像メタデータの読み書きに使われる定番ツールだ。

# インストール（Ubuntu/Debian）
sudo apt install libimage-exiftool-perl

# macOS
brew install exiftool

# メタデータを表示
exiftool photo.jpg

出力例:

GPS Latitude  : 35 deg 41' 22.20" N
GPS Longitude : 139 deg 41' 30.12" E
Create Date   : 2026:01:15 14:30:22
Camera Model  : iPhone 16 Pro

GPS座標が入っていたら、その写真をSNSにアップロードすると自宅や職場の場所が特定される可能性がある。

対策

• SNS側の対処: X（旧Twitter）、Instagram、Facebookは投稿時にEXIFを自動削除する。ただしLINEのアルバム共有やメール添付では残る場合がある
• 撮影時の対処: スマホの設定で「位置情報を写真に含める」をオフにする
• 事後の対処: exiftool -all= photo.jpg でメタデータを一括削除できる

Step 5: 自分のIPアドレス・ドメインの露出を確認する

自宅のIPアドレスや、運営しているWebサイトのドメインがインターネットからどう見えているか確認する。

Shodan（IoT検索エンジン）

Shodan はインターネットに接続されたデバイスを検索できるサービスだ。自分のIPアドレスを検索して、外部からどのポートが見えているか確認できる。

1. shodan.io にアクセス（無料アカウント登録が必要）
2. 自分のIPアドレスを検索

開いているはずのないポートが見えていたら、ファイアウォールの設定を見直そう。

自サイトのドメイン情報を確認する

# WHOIS情報の確認
whois yourdomain.com

# DNSレコードの確認
dig yourdomain.com ANY

WHOIS情報に個人の住所や電話番号が公開されている場合、ドメインレジストラのプライバシー保護サービスを有効にしよう。

漏洩が見つかったら今すぐやるべき3つのこと

セルフチェックで漏洩や露出が見つかった場合、以下の3つを優先的に実行する。

1. パスワードを全て変更する

漏洩が確認されたサービスはもちろん、同じパスワードを使い回していた全てのサービスのパスワードを変更する。

手動で全サービスのパスワードを変更するのは現実的ではない。パスワードマネージャーを使って、サービスごとにユニークで強力なパスワードを生成・管理するのが最善だ。漏洩監視機能付きのものを選べば、新しい流出が見つかった時点でアラートが届く。

2. 二要素認証（MFA）を有効にする

パスワードが漏洩していても、MFAが有効なら不正ログインを防げる。特に以下のサービスは最優先:

• メールアカウント（全てのパスワードリセットの起点になる）
• 銀行・金融サービス
• SNS（なりすまし防止）
• クラウドストレージ

3. デジタルフットプリントを削減する

• 使っていないアカウントを削除する
• SNSのプロフィールから不要な個人情報を削除する
• 写真のEXIF情報を確認して位置情報を消す
• データブローカーサイトに情報削除を請求する（GDPR圏なら法的に可能）
• VPNを常時使用してIPアドレスの追跡を防ぐ

OSINTと法律 — 合法と違法の境界線

OSINTの手法自体は「公開情報の収集」であり、原則として合法だ。ただし 何を、誰の情報を、どう使うか によって法的リスクが変わる。

合法なケース

違法になりうるケース

覚えておくべきルール

日本: 不正アクセス禁止法は「アクセス制御機能を持つシステムへの不正アクセス」を禁じている。公開情報の閲覧は対象外だが、ログインが必要なシステムに無断でアクセスすれば3年以下の懲役または100万円以下の罰金だ。

EU（GDPR）: 一般データ保護規則により、データ主体は自分のデータについて開示・修正・削除を請求できる。データブローカーに自分の情報の削除を要求するのは完全に合法であり、応答期限は1カ月以内と定められている。

米国（CCPA/CPRA）: カリフォルニア消費者プライバシー法（CPRAで改正済み）により、カリフォルニア州の住民は企業が収集した自分の個人情報の開示・削除・販売停止を請求できる。2026年1月からはサイバーセキュリティ監査や自動意思決定のリスク評価も義務化された。

よくある質問

OSINTは合法？

自分のデータに対して使う限り合法だ。OSINTは公開情報の収集であり、ほとんどの法域で問題ない。違法になるのは、ログインが必要なシステムに無断でアクセスしたり、他人の個人情報を同意なく収集・公開する場合だ。

どのくらいの頻度でセルフチェックすべき？

総合的な監査は半年に1回が目安。漏洩チェックに限れば月1回がおすすめだ。Have I Been Pwnedの通知サービスに登録しておけば、自分のメールアドレスが新しい漏洩に含まれた時点で自動通知が届く。

OSINTとハッキングの違いは？

OSINTは公開情報だけを使う。検索エンジン、公開データベース、SNSのプロフィールなど。ハッキングはアクセス制御を突破して保護されたシステムに侵入する行為だ。sherlock your_username を実行するのはOSINT。他人のアカウントにログインを試みるのはハッキングだ。

他人が僕の情報をOSINTで調べることはできる？

できる。この記事で紹介した手法は誰でも使える。だからこそ自分で先にチェックしておくことが大事だ。公開されている情報は誰でも見つけられる。攻撃者より先に発見して対策するのがセルフOSINTの意義だ。

SNSにアップした写真のEXIF情報は消える？

X（旧Twitter）、Instagram、Facebookはアップロード時にEXIFメタデータを自動削除する。ただしLINEのアルバム共有やメール添付では元のメタデータ（GPS座標含む）が残る場合がある。心配なら撮影時に位置情報をオフにするか、アップロード前に exiftool -all= photo.jpg で削除しよう。

Shodanは使って大丈夫？

合法だ。Shodan はインターネット上で公開されているデバイス情報をインデックスしているだけ。自分のIPアドレスを検索するのは、外部からどう見えるか確認しているに過ぎない。ただし、Shodanの結果を使って他人のシステムに不正アクセスするのは違法だ。

データブローカーサイトに自分の情報を見つけたらどうする？

GDPR（EU）やCCPA/CPRA（カリフォルニア州）のもとでは、個人データの削除を法的に請求できる。データブローカーに直接削除依頼を送ろう。応答期限はGDPRで1カ月、CCPAで45日だ。Mozilla Monitor Plus を使えば複数のデータブローカーへの削除依頼を自動化できる。

まとめ

OSINTは「自分の情報がどこまで見えているか」を知るための強力な手段だ。特別なスキルがなくても、この記事の5ステップを実行すれば、攻撃者と同じ視点で自分のデジタルフットプリントを確認できる。

Googleダークウェブレポートが終了した今、自分の情報を守るのは自分自身だ。まずは Have I Been Pwned でメールアドレスをチェックすることから始めてほしい。そこで漏洩が見つかったら、パスワードの変更とMFAの有効化を最優先で実行しよう。

関連記事:

• パスワードが漏洩していないか今すぐ確認する方法
• IPアドレスからどこまでバレる？隠す方法を徹底解説
• 開発者の個人情報が漏れる5つの経路と対策
• VPNとは？初心者にもわかる仕組みと必要性
• パスワードが覚えられない？もう覚えなくていい