"深淵を覗き込む時、深淵もまたこちら側を覗き込んでいるのだ。"
　

　2015年2月20日のssmjpという勉強会でダークネットについて発表させていただきました．(会場は品川のBIGLOBEのオフィス)

• 2015年2月の#ssmjp まとめ | ssmjp Infomation

　「ダークネット」という，なんとも厨二くさいワードですが，れっきとしたネットワーク用語です．

　インターネットのダークサイドへようこそ...

　
会場で寄せられた質問は以下のとおり．

Q．IPアドレスがダークネットか否かを判断する方法はなにか
A．あらゆるリクエストパケットを投げてみて，なにも応答がなかったらダークネットと考える．
　
Q．ダークネットと経路なしの区別はなにか
A．ダークネットはパケットが「到達可能」なのに対して，経路なしはパケットが「到達不可能」なもの．到達不可能とはルータの先に経路情報がなくパケットが到達し得ない状態のこと．
　
Q．一時的にサーバーダウンして応答を返さないIPアドレスもダークネットに含まれるか
A．そういったIPアドレスもダークネットの定義に当てはまる．ダークネットの領域は日々変化するものと考えてよい．
　
Q．ダークネットのデータセットは公開されているのか
A．今回使用したNICTER Darknet DatasetはMWS(マルウェア対策研究人材育成ワークショップ)で大学等の研究者向けに提供されているものであり，一般に公開はされていない．データの解析はNICTが管理するVM上で行う．（参考：マルウェア対策研究人材育成ワークショップ 2014 (MWS2014)）
　
Q．IPv6のダークネットにおいても同様にパケットは観測され，サイバー攻撃の傾向分析に役立つか
A．IPv6のダークネットでもパケットは観測されるとは思うが，IPv4のようにアドレス空間全体をスキャンしようと考える人はほとんどいないのではないかと思うので，その数は少なく，傾向分析は難しいのではないかと考えている．攻撃者としては，スキャンをする際はある程度ターゲットに当たりをつけてスキャンするはず．
　
　他にも「スキャンされにくいようなネットワーク構築を心がけるべき．セグメントは大きく分割しすぎない．」などのご意見も頂きました．議論に参加してくださった方々，本当にありがとうございました．
　　

※DAEDALUSの解説，NTP/DNS amp 攻撃の解説，スキャンツールの解説等は口頭で済ませてしまったためスライドにはありません（また別の機会に）．アップロード版の自己紹介スライドではなんとなく本名は伏せてあります．