ダークウェブに自社の情報が出ていないか？漏洩を検知する「OSINT」活用法

「まさか、うちの会社のIDとパスワードが売買されているなんて……」

ある日突然、身に覚えのない不正アクセスやランサムウェア攻撃に見舞われる企業。

その多くは、攻撃の「前兆」を、ダークウェブ（Dark Web）という匿名性の高いネットワークに書き残されています。

かつて、サイバー攻撃への対策は「侵入を防ぐ」こと（防御）が中心でした。

しかし、攻撃手法が高度化した現在、重要視されているのが「OSINT（オシント）」を活用した「能動的な監視」です。

本記事では、公開情報やダークウェブから攻撃の予兆を察知し、最悪の事態を防ぐための方法を解説します。

「OSINT」とは何か？なぜ今、企業に必要なのか

OSINT（Open Source Intelligence）とは、誰もがアクセスできる「公開情報」を収集・分析し、インテリジェンス（知見）を得る手法のことです。

サイバーセキュリティの文脈では、主に以下の情報を監視することを指します。

これらを監視することで、「攻撃が行われる前（情報の露出段階）」で手を打つことが可能になります。

攻撃者は、いきなりサーバーを破壊するわけではありません。

まず「安く、簡単に侵入できる鍵」を探します。

流出した認証情報： 過去に他サービスで漏洩したメールアドレスとパスワードのリスト。
初期侵入用アクセス権（IAB）： 既に脆弱なVPNなどを通じて侵入に成功した「中への入り口」そのものが、ダークウェブで数百ドル〜数千ドル（日本円で十数万円〜数十万円）で売買されています。

もし、自社のドメインを含む認証情報がリスト化されていれば、それは「短期間内に攻撃が始まる可能性が極めて高い」という警告に他なりません。

出典：フォーティネット『2025年版グローバル脅威レポート』

専門的なスキルがなくても、企業が今すぐ取り組めるOSINT活用法は以下の通りです。

ドメイン情報の露出チェック： 自社ドメイン（@example.com）のメールアドレスが過去の漏洩事件に含まれていないか、定期的に確認する。
多要素認証（MFA）の強制： 「漏洩しているかもしれない」という前提に立ち、パスワードが合致しても第2の認証がなければログインできない仕組みを構築する。
認証ログの異常検知： 深夜の海外IPからのログイン試行や、短時間の大量ログイン失敗など、OSINTで漏洩事実を把握した該当アカウントの監視を強化する。

ダークウェブに情報が出ていたとしても、その情報を使って「ログインさせない」仕組みがあれば、重大な被害を大幅に軽減できます。

GMOトラスト・ログインは、OSINTで検知されたリスクを無力化する強力な盾となります。

パスワード漏洩検知（独自機能）： 設定されたパスワードが、過去に流出したデータセットに含まれていないかを自動的に照合します。
漏洩が確認された場合はログインをブロックし、即座にパスワード変更を促すことで、攻撃の芽を未然に摘み取ります。
漏洩パスワードの無効化： 使い回しのパスワードが漏れても、SSO（シングルサインオン）を導入していれば、SSO経由以外の各サービスへの直接ログインを原則禁止（SAML連携等）できます。
デバイス制限とIP制限： 攻撃者がダークウェブで買った「正しいID・パスワード」を持っていても、会社が許可した端末や場所からでなければアクセスを大幅に困難にします。
パスワードレス認証： そもそも「盗まれるパスワード」自体を運用から排除する（FIDO2等）ことで、パスワード固有の脅威をほぼ排除できます。

Q：自社でダークウェブを直接調査するのは危険ですか？: A：はい。特殊な環境（Tor等）が必要で、不適切なアクセスやファイル取得によりマルウェア感染のリスクもあります。専門の監視サービスを利用するか、漏洩を前提とした「多要素認証」による防御を優先することをお勧めします。
Q：OSINTで漏洩が見つかったら、まず何をすべきですか？: A：該当ユーザーのパスワードを即座に変更し、全システムでの二要素認証（2FA）の適用を確認してください。また、同じパスワードを私的利用していないか従業員へ注意喚起が必要です。
Q：小規模な企業でも狙われますか？: A：攻撃者は「企業規模」ではなく「入りやすさ」で選びます。OSINTによる自動スキャンで引っかかれば、規模に関係なくターゲットになります。

ダークウェブに情報が出てから慌てるのではなく、いつ情報が出ても「揺るがない」認証基盤を整えることが、現代の情勢における現実的な最適解の一つです。GMOトラスト・ログインは、貴社の情報資産を「境界線の外」から守り抜きます。