ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問11
マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。
ア:インターネット上で到達可能,かつ,未使用のIPアドレス空間(正解)
イ:組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間
ウ:通信事業者が他の通信事業者などに貸し出す光ファイバ設備
エ:マルウェアに狙われた制御システムのネットワーク
解説
マルウェアの活動傾向を把握するためのダークネットとは【午前2 解説】
要点まとめ
- 結論:ダークネットはインターネット上で到達可能だが未使用のIPアドレス空間であり、マルウェア観測に最適です。
- 根拠:未使用のIPアドレスに送られる不正通信を検知し、攻撃の兆候や手口を把握できるためです。
- 差がつくポイント:ダークネットは実際に利用されていないため、正規通信と区別しやすく、誤検知が少ない点が重要です。
正解の理由
選択肢アの「インターネット上で到達可能,かつ,未使用のIPアドレス空間」が正解です。
ダークネットは実際には使われていないIPアドレス帯域を指し、そこに送られてくる通信は通常の利用者からのものではありません。マルウェアや攻撃者が誤って、あるいはスキャン目的で送信する通信を観測することで、攻撃の傾向や新たな脅威を早期に検知できます。
ダークネットは実際には使われていないIPアドレス帯域を指し、そこに送られてくる通信は通常の利用者からのものではありません。マルウェアや攻撃者が誤って、あるいはスキャン目的で送信する通信を観測することで、攻撃の傾向や新たな脅威を早期に検知できます。
よくある誤解
ダークネットは「闇のネットワーク」や「匿名通信ネットワーク」と混同されがちですが、ここでの意味は未使用のIPアドレス空間のことです。
解法ステップ
- 問題文の「観測用センサが配備されるダークネット」の意味を理解する。
- ダークネットは「未使用のIPアドレス空間」であることを確認。
- 選択肢の中から「未使用のIPアドレス空間」を含むものを探す。
- 他の選択肢が「使用中のIPアドレス」や「物理設備」など異なる概念であることを確認。
- 正解はアであると判断する。
選択肢別の誤答解説
- ア: インターネット上で到達可能,かつ,未使用のIPアドレス空間 → 正解。マルウェアの通信を観測できる。
- イ: 組織に割り当てられ使用中のIPアドレス空間 → 正規の通信が多く混在し、観測用として適さない。
- ウ: 通信事業者が貸し出す光ファイバ設備 → 物理的な通信インフラであり、ダークネットの定義とは異なる。
- エ: マルウェアに狙われた制御システムのネットワーク → 特定の被害対象であり、観測用の未使用空間ではない。
補足コラム
ダークネットはセキュリティ分野で「ハニーポット」と並ぶ重要な観測手法です。ハニーポットは意図的に設置した偽のシステムですが、ダークネットは実際に使われていないIPアドレス帯を利用し、攻撃者のスキャンや誤送信を受け取ることで脅威を分析します。
FAQ
Q: ダークネットとダークウェブは同じですか?
A: いいえ。ダークネットは未使用IPアドレス空間の観測用ネットワーク、ダークウェブは匿名通信技術を使った隠れたウェブサイト群です。
A: いいえ。ダークネットは未使用IPアドレス空間の観測用ネットワーク、ダークウェブは匿名通信技術を使った隠れたウェブサイト群です。
Q: なぜ未使用のIPアドレス空間を使うのですか?
A: 正規の通信がないため、マルウェアや攻撃者からの不正通信を容易に検知できるからです。
A: 正規の通信がないため、マルウェアや攻撃者からの不正通信を容易に検知できるからです。
関連キーワード: ダークネット, マルウェア観測, IPアドレス空間, セキュリティ監視, ネットワークセンサ