Maigret OSINT username search tool — collect dossier from 3000+ sites

jkf87.github.io

Maigret：ニックネーム一つで個人dossierを自動生成するOSINTツール、昨日AIモードが追加

Maigret, OSINT, 보안 점검, 다크웹 모니터링, 닉네임 노출開発

soxoj/maigret — Collect a dossier on a person by username from 3000+ sites

닉네임 하나로 3,000개 사이트 뒤지는 OSINT 도구 — maigret (코난쌤)

Maigret — Bellingcat's Online Investigation Toolkit

ニックネーム一つわかれば、その人のネット上の痕跡3,000か所を自動で調べ上げます。プロフィール写真・名前・バイオ・位置情報・メールアドレス・電話番号まで収集してPDF dossierにまとめ、昨日（5月5日）追加された--aiフラグを有効にすると、OpenAI互換モデルが「この人物が誰に見えるか」まで整理してくれます。

ツールの名前はMaigret。フランスの推理小説の探偵「メグレ」から取りました。GitHub 25.5kスター、MITライセンス、APIキーなしで無料。Sherlockの後継ですが、規模と深さが別次元にあります。

これは何?

Maigretはusername一つで人物のdossier（書類ファイル）を自動収集するOSINT（Open-Source Intelligence）ツールです。コナン先生のブログが2026年5月2日にまとめた表現が的確で — 「ニックネーム一つで十分。メールアドレスも、電話番号も、本名も不要」ということです。

インストールは一行です。

インストール＋即実行
pip install maigret → maigret ニックネーム。デフォルトはトラフィック上位500サイトのみスキャン、全3,000以上を対象にするには-aフラグを追加。
レポート形式を選択可能
HTML(--html)、PDF(--pdf)、XMindマインドマップ(--xmind)、JSON/CSV、インタラクティブD3.jsグラフ(--graph)。調査・CTF・内部セキュリティチェックなど、ワークフローに合わせて選べます。
プロフィールデータまで抽出
「存在する/しない」だけではありません。プロフィールページから名前・写真・バイオ・位置情報・フォロワー数・登録日・他のアカウントリンクをsocid_extractorで取得します。
再帰（recursive）探索
あるアカウントページで別のニックネーム・メールアドレス・リンクが見つかれば、それを新しい入力として自動的に再探索。サブアカウント・本名アカウント・メールアドレスのバリエーションまで自動でつなげます。

インストールしたくなければ、Telegramボット(@maigret_search_bot)でそのまま使えます。Python環境なしでもOK。Cloud Shell・Colab・Replitノートブックにも対応しています。

Sherlockとの違いは?

Sherlock（GitHub 60k+スター）がOSINT usernameの代名詞として知られていますが、Maigretとは決定的に異なります。

項目	Sherlock	Maigret
カバレッジ	約400サイト	3,000以上のサイト、GitHub 24時間自動更新
出力情報	存在確認のみ（アカウントあり/なし）	名前・写真・バイオ・位置情報・メール・他アカウントリンク
再帰探索	なし	発見したusername・IDで自動再探索
ネットワークルーティング	HTTP/HTTPS直接	Tor・I2P・SOCKSプロキシ、.onion/.i2pサイトも検索
レポート出力	テキスト・CSV	HTML・PDF・XMind・JSON・D3.jsグラフ
ブロック・CAPTCHA	ブロックされたら終了	部分的な回避、サイト別detect/bypassロジック内蔵
AI統合	なし	--aiでOpenAI互換APIに結果の要約を委託（2026-05-05追加）

Bellingcat（探査報道の専門団体）も自社OSINTツールキットにMaigretを個別項目として登録しています。Sherlockの「汎用無料ツール」という位置づけはそのままに、Maigretは「プロフェッショナルなOSINTワークフロー」の標準になりつつある流れです。

昨日追加されたAIモード、何が変わるのか?

2026年5月5日付けのPR #2620で、--aiフラグが正式にドキュメント化されました。動作の仕組みはシンプルです。

ステップ1：検索結果を内部マークダウンレポートに整理
3,000サイトのスキャン・再帰探索が完了したrawデータをmodel-friendlyなマークダウンに一次変換。
ステップ2：OpenAI互換chat completionエンドポイントへ送信
デフォルトはOpenAI API。openai_api_base_urlの設定でAzure OpenAI・OpenRouter・ローカルLLMサーバーにも対応。
ステップ3：モデルが短いinvestigation summaryを生成
likely real name / location / occupation / interests / languages / confidence / follow-up leads。推定の信頼度と次の調査方向もセットで出力。
ステップ4：ターミナルへストリーミング
サイトごとの進捗ログは非表示にして、モデルの出力だけをstdoutに流す。maigret user --ai --ai-model gpt-4o-miniの一行で完結。

この一行の変化が大きな意味を持つのは、Maigretが単なるデータ収集ツールから「investigation自動合成器」に変わるということです。人が30分かけてdossierを合成していた作業が即座になくなります。同時にリスクも上がります — 誰が誰をどれだけ速く・安くdossierにできるかというバランスが崩れるのです。

企業の立場から見ると、何が変わるのか?

「うちはOSINTをやらない」が核心ではありません。あなたの役員・社員・顧客情報はすでにOSINTの対象になっています。ツールの手軽さが臨界点を超えた今、露出チェックをデフォルトの運用に組み込む必要があります。

ただし、韓国の法的環境を確認しておく必要があります。個人情報保護法＋情報通信網法の観点から、情報が公開されていても同意なく他人の情報を自動で収集・組み合わせると法的問題になる可能性があります。使用目的を明確にすることが必要です — 自己チェック、正式なセキュリティ監査の委託、CTF・研究など。

ステップ1：セルフOSINT — 社員自己チェックガイド
社員本人のメールアドレス/ニックネームでmaigretを実行して自分の痕跡を確認。企業が強制するのではなく、セキュリティ教育資料としてガイドを配布。「削除すべき古いアカウントを探す」が最も無難な入口です。
ステップ2：VIP・役員を対象にした外部露出の定期チェック
対象者の同意＋セキュリティチームへの委託という形で、CEO・CFO・コアエンジニアの外部露出度を四半期1回チェック。脅迫・フィッシング・ソーシャルエンジニアリングの表面を先に縮小します。委託契約書にOSINTの範囲・保管期間を明記。
ステップ3：社内セキュリティ模擬訓練（red team）に統合
フィッシング訓練を作る際に、maigretで実際の社員1名のdossierを1時間以内に作成して見せる。「このレベルが5分でできる」というデモが、OSINT認識教育の資料より10倍効果的です。
ステップ4：採用・契約審査用（Tor・ダークウェブ含む）
役員・コア人材の採用時に、事前同意を得た上で外部評判調査を外注。MaigretがTor・I2Pまで対応しているため、ダークウェブへの情報漏洩も一つのツールでカバー。既存のダークウェブ監視サービスのコスト削減も可能です。

始め方のポイント

ステップ1：自分のニックネームで一度試してみる
15分で完了。pip install maigret && maigret 自分のニックネーム --html。HTMLレポートを開いて「忘れていたアカウント」のリストを確認。
ステップ2：リスク分類
(a) 今も使っているもの — パスワードの使い回しをチェック、(b) 使っていないが生きているもの — 即削除、(c) 会社名・本名・位置情報を露出しているもの — プロフィールを整理。
ステップ3：AIモードで自分のdossierを確認する
export OPENAI_API_KEY=... && maigret 自分のニックネーム --ai。モデルが「この人物は誰に見えるか」を整理してくれます。外部に公開されている自分のペルソナを客観的に把握する最も速い方法です。
ステップ4：委託セキュリティチェックプロセスの設計
役員・コア人材を対象にした四半期OSINT点検をセキュリティ委託項目に追加。対象者の同意 → 範囲・保管期間の明記 → 定期レポート → データ廃棄の流れまでSOP化。
ステップ5：社内OSINTガイドライン1ページ
「何をしてよいか / 何は絶対にしてはいけないか」を1ページにまとめる。自己チェックはOK、社員の同意なしのチェックは禁止、VIPチェックはセキュリティチーム＋法務チームの承認が必要。

さらに深掘りしたい人へ

Maigret公式GitHub README 25.5kスター、MIT。インストール・CLIオプション・Web UI・Docker・Tor/I2Pルーティング・AI分析モードまで完全なマニュアル。昨日追加された--ai・--ai-modelフラグのドキュメントも含む github.com/soxoj/maigret

コナン先生ブログ — maigret OSINT使用記（2026-05-02） 韓国語でまとめられた実践使用記。韓国の法的環境でどういった用途が無難か、韓国サイトのカバレッジの限界まで解説 jkf87.github.io

Bellingcat OSINT Toolkit — Maigret項目 探査報道分野の標準OSINTツールキットがmaigretをどのように分類しているか。職業的な調査ワークフローの文脈でツールの位置づけを把握できます bellingcat.gitbook.io

よくある質問

韓国でmaigretのようなツールを使うのは合法ですか？情報が公開されていても収集すると問題になることがあると聞きましたが？

二つに分けて考える必要があります。自分自身・同意を得た社員・正式なセキュリティ委託の範囲内でのチェック — 法的問題はほぼありません。同意なく他人のニックネームでdossierを作成・外部共有する場合 — 個人情報保護法＋情報通信網法違反になる可能性があります。核心は「収集・結合」です。公開情報を1件確認することは許容されますが、自動でまとめて新たな情報資産を作ると処理行為とみなされます。社内での使用にはSOPに「対象者の同意・範囲・保管期間・廃棄」の4点を必ず明記してください。

WhatsMyNameのようなウェブツールで十分ではないですか？わざわざmaigretのようなCLIをインストールする必要はありますか？

用途が異なります。WhatsMyNameは「ニックネームの素早いマッチング」で1,500サイト、5秒で完了。maigretは「フルdossier合成」で3,000サイト以上＋recursive＋プロフィールデータ抽出＋AI分析＋Torルーティング。セルフチェックや簡単な確認はWhatsMyNameで十分です。役員のセキュリティチェック・red team・ダークウェブ漏洩調査・複雑なペルソナ追跡はmaigretの出番です。決定的な違いは「再帰探索」 — あるアカウントで別のID・メールを発見したら、自動的にそれを新しい入力として探索する点です。

AI分析モード（--ai）は危険ではないですか？OpenAIに検索結果をそのまま送ることになりますが？

その通りで、二種類のリスクを分けて考える必要があります。(1) データ漏洩 — チェック対象者のOSINT結果がOpenAIの学習/ロギングに含まれる可能性があります。企業でのチェックではOpenAI直接使用は絶対禁止で、OpenRouterのzero-data-retentionオプションか、社内LLMサーバーをopenai_api_base_urlに指定すべきです。(2) AIのハルシネーション — モデルが「この人物はXの可能性が高い」と断定的に出力しますが、実際の推定信頼度はモデルには分かりません。summaryは常に「人間によるレビュー用の一次仮説」として扱い、実際の意思決定に直接使用することは禁止です。

企業の立場からすると、maigretは韓国サイトのカバレッジが弱いとのことですが、結局使い道が限られてしまいませんか？

韓国サイト（NAVERカフェ・カカオストーリー・Xの韓国語活動）のカバレッジが弱いのは事実です — グローバルなSNS・フォーラム・出会い系・ダークウェブが中心だからです。ただし、企業のOSINTチェックで守ろうとしている資産は多くの場合「グローバルな露出」の領域にあります。役員のLinkedIn・X・Instagram・GitHub・Reddit・海外フォーラム・出会い系アプリ・Telegram・.onionなどが実際の脅威表面です。韓国サイトのチェックが必要な場合は、別途韓国特化のOSINTツール（例：通信3社の名義盗用チェック、e個人情報露出自己診断）と組み合わせてください。