HOME
CompTIA PenTest+ (侵入テスト)

「CompTIA PenTest+ (侵入テスト)」の記事一覧

特定の既知の脆弱性（CVE）が存在するかどうかを確認するだけの簡易的なスキャンはどれか。

Vulnerability Identification（脆弱性の特定）は、特定の脆弱性の有無を迅速に判断する。

2026年3月7日

SNMPのデフォルトのコミュニティ名としてよく使われるものはどれか。

publicは多くのデバイスにおいてデフォルトで設定されているSNMPの読み取り用文字列である。

2026年3月7日

テスターが攻撃側の役割を、組織の担当者が防御側の役割を演じる合同演習を何と呼ぶか。

Purple Teamingは攻撃側（Red）と防御側（Blue）が協力して改善を図る形式である。

2026年3月7日

Windowsのパスワードハッシュ（NTLM）をダンプするために使われる有名なツールはどれか。

MimikatzはWindowsメモリ内から平文パスワードやハッシュ値などを抽出できるツールである。

2026年3月7日

報告書の「結論」セクションにおいて、テスターが最も重視すべき内容はどれか。

経営層は、個別の脆弱性よりも組織全体としてのリスクやセキュリティレベルを知る必要がある。

2026年3月7日

Kerberos認証を悪用して、ドメインコントローラーへの永続的なアクセスを得る攻撃はどれか。

Golden Ticket攻撃は、偽のTGTを作成してActive Directory環境の全権限を奪取する。

2026年3月7日

Webアプリケーションの脆弱性（OSコマンド注入等）を検証する際に、最初に行うべきテストはどれか。

Fuzzing（ファジング）は予期しない入力を与えることでアプリケーションの挙動をテストする。

2026年3月7日

GitHubなどのリポジトリから誤って公開された認証情報を探す行為は何に該当するか。

公開リポジトリの探索は、オープンソース情報の調査（OSINT）の一環である。

2026年3月7日

テスト中に機密データに触れた場合の取り扱いについて定義している契約項目はどれか。

Data Handling（データ取り扱い）は、テスト中・後のデータの管理・削除方法を定める。

2026年3月7日

複数のコンピュータを遠隔操作して一斉にターゲットを攻撃するネットワークを何と呼ぶか。

Botnetはマルウェアに感染し、攻撃者の制御下にあるコンピュータ群の集合体である。

2026年3月7日