ゆるいぞIT

今回はOsintgram(ツール)を利用したInstagram(アカウント)の情報収集について”実行方法”と”収集できる情報”について見てみましょう。

※Youtubeでは動画版をご視聴いただけます。

この記事はこんな人にオススメ
  • ハッキングスキルについて知りたい
  • セキュリティの知識を学習したい
  • ITインフラの知識を学習したい

※実務や演習等を除き、インターネット上のサーバへクラッキングすることは違法行為となりますのでご注意ください。

目次 [ close ]
  1. 0.使用する環境
    1. ソフトウェア
    2. 演習環境
  2. 1.演習の流れ
  3. 2.Osintgramとは?
  4. 3.Osintgramのインストール
  5. 4.Osintgramの実行結果について
  6. 5.最後に

0.使用する環境

ゆるいぞIT

本演習で使用する”ソフトウェア“や”環境構成“は下記になります。

ソフトウェア

  • 仮想環境 : Virtual Box
  • 攻撃用サーバ : Kali Linux
  • ターゲットホスト : Metasploitable2

演習環境

赤い枠線内 : 物理環境
青い枠線内 : 仮想環境
ホストOS : 物理PC(Windows11)
無線LANルータ : ルータ経由でインターネットに接続
攻撃用サーバ : Kali Linux
ターゲットホスト : Metasploitable2

1.演習の流れ

ゆるいぞIT

Instagram向けに情報収集(コマンド実行)する行為利用規約違反の可能性がありますので、今回は調べた情報などを織り交ぜつつ解説していきます。

※利用規約 : 4-2. Instagramで禁止されている行為

STEP1
Osintgramのインストール

情報収集用のツールをKali Linuxにインストール

STEP2
Osintgramの実行結果

ツールの実行および実行結果の解説

2.Osintgramとは?

ゆるいぞIT

まずは今回使用するOsintgram(ツール)について説明します。

Osintgramとは、任意のユーザーのInstagramアカウントの情報を収集・分析できるOSINTツールの一つになります。

Osintgramを使うことで、ユーザのプロフィール情報や投稿している画像・動画に関連するデータなどの情報を収集することができます。

OSINTは”Open Source Intelligence(オープンソースインテリジェンス)”の略で、一般に公開されている情報(アクセス可能なデータ)の収集、分析、決定する諜報活動の一種になります。

OSINTの対象となる情報源
  • ウェブサイトやSNS
  • ブログや掲示板
  • ニュース記事や企業のIR情報
  • 公的機関が公開している統計・文書類
  • ドメイン情報やWHOIS情報
  • 画像・動画などのメディアコンテンツ

サイバーセキュリティ分野においてもOSINTの活用は進んでおり、「諜報活動を目的としたサイバー攻撃」や「サイバー攻撃を実施するグループの特定」というように”攻撃する側”と”防御する側”の両面で扱われる活動方法になっています。

OSINTで利用するツールの一例
SNS・人物情報系
  • Maltego : 関係性可視化に優れた分析ツール(人物、企業、ドメイン等の関連を視覚化)
  • SpiderFoot : 多機能な自動情報収集ツール(SNS、IP、ドメインなど横断的に調査可能)
  • theHarvester : メールアドレス、ドメイン、社員名などの収集に特化
ドメイン・IP・インフラ調査
  • Shodan : インターネット上のデバイス検索エンジン(IoT含む)
  • Censys : SSL証明書、公開ホスト情報などを検索できる高度検索ツール
  • WHOIS : ドメイン登録情報の確認に使用
個人情報調査
  • Have I Been Pwned : メールアドレス、電話番号、パスワードの漏洩を確認
  • DEHASHED : メールアドレス、電話番号、氏名、住所、ドメイン名等の漏洩を確認
  • Intelligence X : メールアドレス、URL、IPアドレス、CIDR等の漏洩を確認
画像・メディア解析
  • ExifTool : 画像ファイルのメタデータ(撮影地・日時など)を確認。
  • Google画像検索 : 画像の類似検索により元サイトや拡散状況を確認。
  • InVID : 動画の出所・サムネ・拡散分析が可能(ジャーナリスト向け)

3.Osintgramのインストール

ゆるいぞIT

本演習ではKali Linuxにインストールしますが”Python”や”pip”が使える環境であればいずれの環境でも問題ありません。

STEP1
GitHubからインストーラーをダウンロード

GitHubからツール(Osintgram)をインストール

$ git clone https://github.com/Datalux/Osintgram.git

STEP2
その他モジュールのインストール

pipコマンドで必要なパッケージをインストール

$ pip3 install -r requirements.txt

STEP3
インストールしたディレクトリ(Osintgram)へ移動

インストールされた”コンフィグファイル”や”Pythonプログラム”があることを確認

STEP4
アカウント情報の追加

configディレクトリ配下の「credentials.ini」にターゲットアカウントの”ユーザID”と”パスワード”を追記

$ vi credentials.ini

STEP5
Osintgram(ツール)の実行

ツールのインストールと設定が完了したのでOsintgramを実行

$ python3 main.py <ユーザID>

今回は”yuruizo“というアカウントがInstagram上にないので失敗…

ログインに成功すると下記のような起動画面が返ってくる

4.Osintgramの実行結果について

ゆるいぞIT

ここでは引用した画像を元に実行結果について説明します。

ログイン後、画面下部にターゲットアカウントの”メールアドレス”と”ユーザID”が表示されます。

list“コマンドを実行すると収集可能な情報の一覧が表示されます。

  • followers, following, fwersemail, fwingsemail : フォロワーやフォローしている人のユーザ名、メールアドレス等
  • fwersnumber, fwingsnumber : フォロワーやフォローしている人の電話番号(公開している場合)
  • photodes, photos, propic, stories : 投稿した写真・動画・ストーリーのダウンロード
  • tagged, wcommented, wtagged : タグ付け・コメントしたユーザのリスト

例えば”fwingsemail“を実行すると、ID、ユーザ名、メールアドレス等が表示されます。

addrs“を実行すると、投稿した写真や動画にタグ付けされている住所が表示されます。

5.最後に

ゆるいぞIT

“Osintgram”を使用した情報収集・分析はアカウント情報(ユーザ名、パスワード)が必要となりますので、一般の方が使用する機会はほぼないかと思います。

逆に情報収集を受けた場合は、第三者がにアカウント情報が漏れているということになりますので十分にお気を付けください。

hydra”コマンドを使ったアカウント情報(ユーザID、パスワード)の解析はInstagramでは実行できないようです。

おそらくInstagram側で何かしらの対策がされていると思われます。

※”hydra”コマンドについては下記の記事を参照ください。

関連記事
ブルートフォースアタック(総当たり攻撃)でログインアカウントを解析する【ハッキング初心者向け講座】
ゆるいぞIT 今回はブルートフォースアタック(総当たり攻撃)を用いてターゲットホストに侵入するまでの流れを見てみましょう。 h…
2025年5月10日 2025年6月26日

ということで、今回はここまでにしたいと思います。

それではまた次回お会いしましょう!