Maltego徹底解説:OSINTとサイバー調査のための強力なツール 🕵️‍♀️

セキュリティツール

はじめに:Maltegoとは何か?

Maltego(マルテゴ)は、オープンソース・インテリジェンス(OSINT)およびグラフィカルな相関分析を行うための強力なプラットフォームです。開発元はドイツのミュンヘンに本社を置くMaltego Technologies GmbHです。このツールは、インターネット上で公開されている膨大な情報(OSINT)を収集し、それらの情報間の関係性を視覚的に表現することで、複雑な調査を支援します。

主な利用分野は以下の通りです:

  • サイバーセキュリティ: 脅威インテリジェンスの収集、インシデントレスポンス、脆弱性分析、ペネトレーションテスト(特に偵察フェーズ)など。
  • 法執行機関: 犯罪捜査、テロ対策、人身売買の追跡など。
  • 企業・組織: ブランド保護、評判管理、競合調査、デューデリジェンス(適正評価)など。
  • ジャーナリズム: 調査報道における情報収集と関係性の解明。

Maltegoは、ドメイン名、DNSレコード、IPアドレス、Whois情報、ウェブサイト、メールアドレス、電話番号、人物名、SNSアカウント、企業情報、所属組織、ファイルメタデータなど、多岐にわたる情報を収集・分析対象とします。これらの情報は、「エンティティ (Entity)」と呼ばれるノードとしてグラフ上に表示され、情報間の関連性は「リンク (Link)」によって結び付けられます。これにより、一見無関係に見える情報同士の隠れたつながりを発見することが可能になります。😊

Maltegoは、FBIやインターポールなどの国際的な法執行機関や、多くの大手企業(ダウ30構成銘柄の半数を含む)で利用されており、その有効性が広く認められています。

Maltegoの準備:入手とセットアップ

Maltegoを利用するには、まずソフトウェアを入手し、セットアップを行う必要があります。

Maltegoは複数のライセンスプランを提供しています。2024年6月にライセンス体系が刷新され、主に以下のプランが提供されています(2025年3月時点)。

プラン名 対象ユーザー 主な特徴 価格帯(目安)
Maltego Community (CE) 個人、学習者、非商用利用者
  • 無料
  • 基本的なリンク分析機能(一部制限あり)
  • グラフあたり最大10,000エンティティ
  • Transformあたり最大12結果
  • 商用利用不可
  • 一部の商用データアクセス(限定的)
  • 200クレジット付与
  • Maltego Academyへのアクセス
無料
Maltego Professional Plan 個人調査員、小規模チーム(最大5ユーザー)
  • CEの全機能
  • Maltego Search(ブラウザベースのOSINT検索ツール)
  • 商用データへのアクセス強化
  • 月間20,000クレジット付与
  • 100以上のコネクタへのアクセス(限定的)
  • ユーザー管理システム(近日提供予定)
  • 暗号化された調査ストレージ(近日提供予定)
年間5,500 USD / ユーザー (2024年9月時点)
Maltego Organization Plan 大規模チーム、政府機関(5ユーザー以上)
  • Professionalの全機能
  • Maltego Monitor(リアルタイムSNS監視)
  • Maltego Evidence(SNS証拠収集・分析)
  • 月間250,000+クレジット付与
  • 内部・外部データベース統合用コネクタビルダー
  • カスタムサービス、優先サポート
  • オンプレミス導入オプションあり
  • Maltego Cases(調査管理・コラボレーション、近日提供予定)
年間55,000 USD / 5ユーザー (2024年9月時点)

※ 上記は概要であり、詳細は公式サイトや正規販売代理店にご確認ください。価格は変動する可能性があります。

以前提供されていたMaltego Pro、Maltego Enterprise、Maltego Enterprise On-Premiseは新規販売を終了しましたが、既存ユーザーは一定期間更新が可能です。

  1. ダウンロード: Maltego公式サイトから、お使いのOS(Windows, macOS, Linux)に対応したインストーラーをダウンロードします。Kali Linuxなどのペネトレーションテスト用ディストリビューションにはプリインストールされている場合もあります。
  2. インストール: ダウンロードしたインストーラーを実行し、指示に従ってインストールを進めます。
  3. アカウント登録: Maltegoを初めて起動すると、製品選択画面が表示されます。Community Editionを利用する場合でも、無料のアカウント登録が必要です。「Register」ボタンをクリックし、Maltegoのウェブサイトでメールアドレス、パスワードなどを設定してアカウントを作成します。
  4. ログイン: 作成したアカウント情報でMaltegoにログインします。認証プロセスを経て、利用を開始できます。
  5. 初期設定: ログイン後、Transform(後述)のインストールやブラウザ設定などの初期設定ウィザードが表示される場合があります。指示に従って進めてください。

これでMaltegoを使用する準備が整いました。👍

基本操作:Maltegoの世界を探る 🗺️

Maltegoのインターフェースと基本的な操作方法を理解しましょう。

Maltegoの主な画面構成は以下の通りです。

  • グラフ (Graph): 調査の中心となるエリア。エンティティとリンクが表示され、情報の関連性を視覚的に確認できます。
  • エンティティパレット (Entity Palette): 利用可能なエンティティ(ドメイン、IPアドレス、人物名など)の一覧。ここからエンティティをグラフにドラッグ&ドロップして調査を開始します。
  • ディテールビュー (Detail View): 選択したエンティティやリンクの詳細情報が表示されます。エンティティの値(ドメイン名など)の編集もここで行えます。
  • アウトプット (Output): Transformの実行ログやエラーメッセージなどが表示されます。
  • Transform Hub / Data Hub: 利用可能なTransform(データ収集・処理モジュール)を検索、インストール、管理する場所です。
  • リボンメニュー (Ribbon Menu): ファイル操作、表示設定、Transformの実行、レイアウト調整などの機能が集約されています。

エンティティは、調査対象となる情報の単位を表すアイコン(ノード)です。Maltegoには多種多様なエンティティが用意されています。

主なエンティティの例:

  • インフラストラクチャ: Domain, DNS Name, IP Address, Netblock, Website, URL, Autonomous System (AS) Number
  • 人物・組織: Person, Email Address, Phone Number, Alias (Screen Name), Company, Organization
  • ソーシャルメディア: Twitter User, Facebook User, LinkedIn User, Tweet
  • ファイル・ドキュメント: Document, Image, Exif Info
  • その他: Phrase, Location, Malware Sample, Vulnerability

エンティティパレットから目的のエンティティを探し、グラフ上にドラッグ&ドロップすることで調査の起点となります。

トランスフォームは、Maltegoの中核機能であり、特定のエンティティを起点として関連情報を収集・処理するためのスクリプトやクエリです。エンティティを右クリックすると、そのエンティティに対して実行可能なトランスフォームの一覧が表示されます。

トランスフォームの例:

  • Domainエンティティに対して:
    • To DNS Name [Find common DNS names]: サブドメインを検索
    • To IP Address [DNS]: ドメインに対応するIPアドレスを検索
    • To Email Addresses [From WHOIS]: WHOIS情報からメールアドレスを抽出
    • To Website [Quick lookup]: ドメインに関連するウェブサイトを検索
  • Email Addressエンティティに対して:
    • To Domain [Find domain from email address]: メールアドレスからドメイン名を抽出
    • To Person [From PGP Key]: PGPキー情報から人物名を検索
    • Have I Been Pwned? [Check if breached]: データ侵害情報データベースで検索 (要Transform Hubからインストール)
  • IP Addressエンティティに対して:
    • To Location [GeoIP]: IPアドレスから地理情報を取得
    • To Netblock [Using natural boundaries]: 所属するネットブロックを特定
    • Shodan [Query Shodan for host information]: Shodanデータベースでホスト情報を検索 (要Transform Hubからインストール・APIキー設定)

トランスフォームを実行すると、新たなエンティティやリンクがグラフに追加され、調査が進行します。

  1. 新規グラフ作成: リボンメニューの「New」をクリックして新しいグラフを開きます。
  2. エンティティの追加: エンティティパレットから調査したいエンティティ(例: Domain)をグラフにドラッグ&ドロップします。
  3. エンティティの値の編集: 追加したエンティティをダブルクリックするか、ディテールビューで値を編集します(例: “maltego.com” を “example.com” に変更)。
  4. トランスフォームの実行: 編集したエンティティを右クリックし、実行したいトランスフォームを選択します。複数のトランスフォームをまとめて実行するには、「Run All Transforms」や特定のカテゴリ(例: Standard Transforms)を選択します。
  5. 結果の確認: トランスフォームが完了すると、関連する新しいエンティティとリンクがグラフに追加されます。
  6. レイアウト調整: グラフが複雑になってきたら、リボンメニューの「Layout」タブから適切なレイアウト(例: Hierarchical, Circular, Organic)を選択して、見やすく整理します。
  7. 拡大・縮小・移動: マウスホイールで拡大・縮小、グラフエリアをドラッグして移動できます。

Maltegoの真価は、収集した情報を繋ぎ合わせ、その関係性を分析することにあります。

  • 直接的な関係: 2つのエンティティが1つのリンクで結ばれている場合、直接的な関係があります(例: ドメインとIPアドレス)。
  • 間接的な関係: 複数のエンティティとリンクを経由して繋がっている場合、間接的な関係があります。Maltegoは、3次、4次と離れた関係性も視覚化できるため、通常は見過ごしがちな繋がりを発見できます。
  • クラスタリング: 関連性の強いエンティティ群は、グラフ上で塊(クラスター)として表示される傾向があります。レイアウト機能を使ってクラスターを強調表示できます。
  • 共通点の発見: 複数のエンティティから同じエンティティにリンクが伸びている場合、それらのエンティティには共通点があることを示唆します(例: 複数のドメインが同じIPアドレスを共有している)。

グラフを注意深く観察し、エンティティ間のリンクを辿ることで、調査対象に関する深い洞察を得ることができます。🔍

主要機能と応用:Maltegoを使いこなす 🚀

Maltegoの基本的な使い方を覚えたら、さらに高度な機能や応用例を見ていきましょう。

Transform Hub(またはData Hub)は、Maltegoの機能を拡張するための「データマーケットプレイス」です。ここから様々なデータソースに接続するためのトランスフォームをインストールできます。

  • 標準トランスフォーム (Standard Transforms): Maltegoにデフォルトで含まれている基本的なOSINTトランスフォーム群。
  • パートナー提供トランスフォーム: Shodan, VirusTotal, Recorded Future, CrowdStrike, HYAS, SOCRadar, Intel 471, OSINT Industries, GreyNoise など、多くのセキュリティベンダーやデータプロバイダーが提供するトランスフォーム。これらを利用することで、より専門的で詳細な情報を収集できます。
  • コミュニティ提供トランスフォーム: GitHubなどで公開されている有志作成のトランスフォームも利用可能です。
  • 自作トランスフォーム: Pythonや他の言語を使って、独自のデータソースや社内データベースに接続するカスタムトランスフォームを作成することも可能です(Connector Builders)。

利用方法:

  1. Maltegoの「Transform Hub」タブを開きます。
  2. 利用したいトランスフォームを検索します(例: “Shodan”)。
  3. トランスフォームを選択し、「Install」をクリックします。
  4. 多くの場合、利用にはAPIキーが必要となります。各サービスのウェブサイトでアカウントを作成し、APIキーを取得後、MaltegoのTransform設定画面で入力する必要があります。
  5. 一部の商用データアクセスには、Maltegoのプランに応じて付与される「クレジット」を消費する場合があります。

Transform Hubを活用することで、調査能力を大幅に向上させることができます。✨

MaltegoはOSINT調査の強力な味方です。

  • 人物調査: 氏名、メールアドレス、SNSアカウント名などを起点に、関連するアカウント、所属組織、連絡先、オンライン活動などを明らかにします。例えば、2024年の調査デモでは、公人の名前から始め、Wikipediaページ、関連ウェブサイト、SNSプロファイル、関連会社、個人メールアドレス、電話番号などを段階的に特定していく手順が示されました。
  • 企業・組織調査: 企業名やドメイン名を起点に、関連会社、役員情報、所在地、保有ドメイン、IPアドレス範囲、技術スタック、関連する従業員のSNSアカウントなどを調査します。
  • ドメイン・インフラ調査: ドメイン名やIPアドレスを起点に、サブドメイン、関連ドメイン、DNS履歴、Whois情報、サーバー情報(OS、開放ポート、脆弱性など)、ホスティング環境、関連する組織や人物などを特定します。
  • ダークウェブ調査: 特定のトランスフォーム(例: DarkOwl)を利用して、ダークウェブ上の情報を収集・分析することも可能です。

サイバーセキュリティ分野では、Maltegoは多岐にわたる用途で活用されています。

  • 脅威インテリジェンス (Threat Intelligence): 攻撃者グループ(APT)、マルウェア、フィッシングサイト、C&Cサーバーなどに関する情報を収集・分析し、関連インフラや攻撃キャンペーン全体像を把握します。各種脅威インテリジェンスフィード(例: Kaspersky Threat Intelligence Portal, SOCRadar, Intel 471)と連携できます。
  • インシデントレスポンス (Incident Response): インシデント発生時、侵害されたホストのIPアドレス、不審なドメイン、マルウェアのハッシュ値などを起点に、攻撃元、被害範囲、攻撃手法などを迅速に調査します。内部ログデータと外部OSINT情報を統合して分析することも可能です。
  • 脆弱性分析: 特定のIPアドレス範囲やドメインに対して、ShodanやCensysなどのトランスフォームを実行し、公開されているサービスや潜在的な脆弱性を調査します。
  • ペネトレーションテスト (Penetration Testing): 攻撃対象の組織やシステムに関する情報を広範囲に収集する「偵察 (Reconnaissance)」フェーズで特に有効です。公開されている情報から攻撃の足がかりを探します。従来の手法よりも効率的に偵察を進められるとされています。
  • フィッシング調査: フィッシングメールの送信元アドレス、ヘッダー情報、記載されているURLなどを分析し、背後にあるインフラや関連するキャンペーンを特定します。

Machine機能は、一連のトランスフォーム実行を自動化するための機能です。繰り返し行う定型的な調査手順を「マシン」として登録しておくことで、ワンクリックで実行できるようになります。これにより、調査の効率化と標準化を図ることができます。

例えば、「ドメイン名から関連するIPアドレス、サブドメイン、Whois情報を取得し、それらのIPアドレスの地理情報を表示する」といった一連の操作をマシンとして定義できます。

グラフ上のエンティティやリンクを異なる視点から表示するための機能です。

  • メインビュー (Main View): 通常のグラフ表示。
  • バブルビュー (Bubble View): エンティティを円で表示し、リンクの数に応じて円の大きさを変えるなど、関係性の密度を視覚化します。
  • リストビュー (List View): エンティティを表形式で表示します。
  • タイムラインビュー (Timeline View): エンティティに時間情報が含まれる場合に、時系列で表示します。

調査の目的に応じてビューを切り替えることで、新たな発見が得られることがあります。💡

2024年6月以降の新しいライセンスプラン(Professional, Organization)では、従来のMaltego Graph(デスクトップクライアント)に加えて、以下のツールが利用可能(または利用予定)になっています。

  • Maltego Search: ブラウザベースで動作する簡易的なOSINT検索ツール。専門知識がないユーザーでも迅速に初期調査を行えます。結果はMaltego Graphに取り込んで詳細分析が可能です。
  • Maltego Monitor: ソーシャルメディアやニュースサイトなどをリアルタイムで監視し、特定のキーワードやイベントに関連する情報を収集・分析します(主にOrganization Plan)。
  • Maltego Evidence: ソーシャルメディアから法廷提出可能な形式で証拠を収集・保存・分析します(主にOrganization Plan)。
  • Maltego Cases: 調査結果をクラウド上で管理し、チーム内での共有やコラボレーションを促進する機能です(近日提供予定)。

これらのツール群により、Maltegoは単なるグラフ分析ツールから、統合的な調査プラットフォームへと進化しています。

実践的なヒントと注意点 ⚠️

Maltegoを効果的かつ責任を持って使用するためのヒントと注意点です。

  • 目標設定: 調査を開始する前に、何を明らかにしたいのか、どのような情報が必要なのかを明確にします。
  • 起点選定: 調査目標に最も関連性の高いエンティティ(ドメイン、メールアドレス、人物名など)を起点とします。
  • 段階的拡張: 最初から全てのトランスフォームを実行するのではなく、関連性の高そうなトランスフォームから段階的に実行し、グラフを徐々に拡張していきます。
  • 絞り込みと深掘り: 収集された情報の中から、重要と思われるエンティティに焦点を当て、さらにトランスフォームを実行して深掘りします。
  • レイアウトとビューの活用: グラフが複雑になったら、レイアウト機能やビュー機能を活用して情報を整理し、関係性を把握しやすくします。
  • メモとブックマーク: 重要な発見や注目すべきエンティティには、ノート機能やブックマーク機能を使って印を付けておくと、後で見返す際に便利です。
  • 情報の出所確認: トランスフォームがどのデータソースから情報を取得したかを確認します。データソースの信頼性を考慮することが重要です。
  • 相関関係 ≠ 因果関係: Maltegoは情報間の関連性(相関関係)を示しますが、それが直接的な原因と結果(因果関係)を示すとは限りません。
  • 情報の古さ: OSINTで得られる情報は常に最新とは限りません。情報の鮮度を確認し、必要に応じて他の手段で裏付けを取ります。
  • 誤検知の可能性: トランスフォームの結果には、誤った情報や無関係な情報が含まれる可能性があります。批判的な視点を持ち、得られた情報を鵜呑みにせず、複数の情報源で検証(クロスチェック)することが不可欠です。
  • 適切な設定: 多くの外部データソース(Shodan, VirusTotalなど)を利用するには、それぞれのサービスでAPIキーを取得し、Maltegoに設定する必要があります。設定方法は各トランスフォームの説明や提供元のドキュメントを参照してください。
  • 安全な管理: APIキーは機密情報です。漏洩しないように安全に管理し、不要になったキーは無効化してください。
  • 利用制限の確認: 無料プランのAPIキーには、利用回数や頻度に制限がある場合があります。制限を超えないように注意し、必要であれば有料プランへのアップグレードを検討します。
  • 合法性の遵守: Maltego自体は合法的なツールであり、公開情報(OSINT)を収集するものです。しかし、収集した情報の利用方法や調査活動においては、関連する法律(個人情報保護法、不正アクセス禁止法など)や規制を遵守する必要があります。
  • プライバシーの尊重: 個人に関する情報を調査する場合、対象者のプライバシー権を不当に侵害しないよう、倫理的な配慮が求められます。特に、機密性の高い個人情報の取り扱いには十分注意が必要です。
  • 目的外利用の禁止: 収集した情報は、正当な調査目的の範囲内でのみ利用し、ストーカー行為や嫌がらせなどの不正な目的で使用してはいけません。
  • 所属組織のポリシー遵守: 企業や組織でMaltegoを使用する場合、社内規定や情報セキュリティポリシーに従って利用してください。

Maltegoは非常に強力なツールですが、その力を正しく、倫理的に使用することが極めて重要です。

まとめ:Maltegoの価値と未来 ✨

Maltegoは、膨大な公開情報の中から価値ある洞察を引き出し、複雑な関係性を可視化するための強力なプラットフォームです。手作業では時間と労力がかかる情報収集・分析プロセスを大幅に自動化・効率化し、調査員がより本質的な分析に集中できるよう支援します。

サイバーセキュリティ、法執行、企業インテリジェンスなど、多様な分野でその価値を発揮し、隠れた脅威やリスク、新たな機会の発見に貢献します。Transform Hubによる拡張性の高さや、近年追加されたSearch, Monitor, Evidenceといったツール群により、Maltegoは単なる分析ツールを超え、包括的な調査プラットフォームへと進化を続けています。

OSINTの重要性がますます高まる現代において、Maltegoは情報分析に関わる専門家にとって不可欠なツールの一つと言えるでしょう。このガイドが、Maltegoを使いこなし、より効果的な調査を行うための一助となれば幸いです。😊

参考情報

コメント

タイトルとURLをコピーしました