HOME
CompTIA PenTest+ (侵入テスト)

「CompTIA PenTest+ (侵入テスト)」の記事一覧

特定のサーバーが脆弱である可能性があることを示す「バナー」を隠蔽する対策を何と呼ぶか。

Hardening（要塞化）の一環として、不要なバナー情報を無効化することで、攻撃者への情報提供を最小限に抑…

2026年3月7日

ソーシャルエンジニアリングにおいて、権威のある人物を装って要求を通そうとする心理的アプローチを何と呼ぶか。

Authority（権威）は、上司や警察官などの立場を利用して相手に断りにくい状況を作る手法である。

2026年3月7日

テスト中にクライアントの機密情報（顧客名簿等）を誤ってダウンロードしてしまった場合、最初に行うべきことはどれか。

合意された範囲外の機密データへの接触は、手順に従い即座に報告し、取り扱い指示を仰ぐ必要がある。

2026年3月7日

Nmapを使用して、ターゲットホストが使用している暗号化スイートやSSL/TLSのバージョンを調査するためのスクリプトはどれか。

ssl-enum-ciphersスクリプトは、サーバーがサポートしているSSL/TLSの暗号化設定を詳細に列挙する。

2026年3月7日

発見された脆弱性を修正するための対策案（Remediation）として、最も優先順位が高いものはどれか。

ベンダーが提供する公式パッチの適用は、脆弱性の根本的な原因を解決する最も標準的かつ効果的な手段であ…

2026年3月7日

ウェブサーバー上でOSコマンドを実行可能にする「コマンド注入」が発生する主な原因はどれか。

ユーザーからの入力をそのままOSのコマンドラインに渡す不備により、任意のコマンド実行を許してしまう。

2026年3月7日

脆弱性スキャンにおいて、偽陽性（False Positive）を最小限に抑えるための最も効果的な方法はどれか。

認証スキャンはシステム内部を直接確認するため、ネットワーク越しのみのスキャンよりも精度が飛躍的に高…

2026年3月7日

OSINTにおいて、法人が政府に提出した財務報告書や登録資料からITインフラの情報を探す手法はどれか。

SEC（証券取引委員会）のEDGARデータベースなどは、企業の技術的な背景情報を探る際に有用である。

2026年3月7日

ペネトレーションテストの計画立案において、攻撃対象外のIPアドレスを指定する「ブラックリスト」を作成する主な目的はどれか。

テストによる予期せぬ停止を避けるため、デリケートな資産を明示的に対象外とする。

2026年3月7日

ドメインコントローラーへの攻撃手法で、ドメインキャッシュからハッシュ情報を抽出し、オフラインで解析する手法はどれか。

DCSyncはディレクトリ複製プロトコルを悪用し、正規の同期を装ってハッシュデータを取得する。

2026年3月7日