2025年度情報セキュリティ技術テスト結果

education 2025年度 2025-10-03 作成: 鈴木謙吾

2025年度情報セキュリティ技術テスト（FRM-008、全20問）の回答記録。様式と正答は FRM-008_【2025年度版】情報セキュリティ技術テストを参照。

受験者・結果

タイムスタンプ	メールアドレス	スコア
2025-09-26 19:22:27	`suzuki@airs.co.jp`	20 / 20
2025-10-02 17:51:20	`tachibana@airs.co.jp`	19 / 20
2025-10-03 6:58:05	`kato@airs.co.jp`	20 / 20

設問別回答

#	設問	`suzuki@airs.co.jp`	`tachibana@airs.co.jp`	`kato@airs.co.jp`
1	Webアプリケーションで、入力値がPHPのexec関数に渡されて実行される脆弱性を悪用する攻撃はどれか？	コマンドインジェクション	コマンドインジェクション	コマンドインジェクション
2	TLS 1.3において利用される暗号方式として適切なのはどれか？	AES-GCM（AEAD）	AES-GCM（AEAD）	AES-GCM（AEAD）
3	Validation Authority (VA) の役割として適切なのはどれか？	証明書失効情報の提供（OCSPレスポンスの即時配布）	証明書失効情報の提供（OCSPレスポンスの即時配布）	証明書失効情報の提供（OCSPレスポンスの即時配布）
4	マルウェア「Mirai」の特徴はどれか？	IoT機器を踏み台にして大規模DDoS攻撃を行う	IoT機器を踏み台にして大規模DDoS攻撃を行う	IoT機器を踏み台にして大規模DDoS攻撃を行う
5	SAML (Security Assertion Markup Language) の説明として正しいのはどれか？	認証情報をXML形式でやり取りするシングルサインオン方式	認証情報をXML形式でやり取りするシングルサインオン方式	認証情報をXML形式でやり取りするシングルサインオン方式
6	CVSS（Common Vulnerability Scoring System）に関する説明として正しいものはどれか？	脆弱性の深刻度を0.0〜10.0のスコアで評価する標準である	脆弱性の深刻度を0.0〜10.0のスコアで評価する標準である	脆弱性の深刻度を0.0〜10.0のスコアで評価する標準である
7	DNSSECに関する説明として正しいのはどれか？	DNS応答の完全性と正当性を検証する仕組み	DNS応答の完全性と正当性を検証する仕組み	DNS応答の完全性と正当性を検証する仕組み
8	OAuth 2.0の正しい説明はどれか？	認可のためのプロトコル	認可のためのプロトコル	認可のためのプロトコル
9	ClickFixの説明として正しいのはどれか？	ユーザーに開発者ツールやコマンドプロンプトを開かせ、マルウェアをダウンロード・実行させる社会工学的手口	ユーザーに開発者ツールやコマンドプロンプトを開かせ、マルウェアをダウンロード・実行させる社会工学的手口	ユーザーに開発者ツールやコマンドプロンプトを開かせ、マルウェアをダウンロード・実行させる社会工学的手口
10	サプライチェーン攻撃の説明として正しいのはどれか？	信頼された開発者や配布元を経由して不正なコードやマルウェアを組み込む攻撃	信頼された開発者や配布元を経由して不正なコードやマルウェアを組み込む攻撃	信頼された開発者や配布元を経由して不正なコードやマルウェアを組み込む攻撃
11	クリックジャッキング対策として有効なのはどれか？	X-Frame-Optionsレスポンスヘッダを設定する	X-Frame-Optionsレスポンスヘッダを設定する	X-Frame-Optionsレスポンスヘッダを設定する
12	DTLSの特徴として正しいものはどれか？	UDP上でTLS相当の暗号通信を行う	UDP上でTLS相当の暗号通信を行う	UDP上でTLS相当の暗号通信を行う
13	IoC (Indicator of Compromise) の例として適切なのはどれか？	攻撃の痕跡や不審な通信先IPアドレスなど	攻撃の痕跡や不審な通信先IPアドレスなど	攻撃の痕跡や不審な通信先IPアドレスなど
14	クリプトジャッキングの説明として正しいものはどれか？	暗号資産のマイニングを不正に行う	暗号資産のマイニングを不正に行う	暗号資産のマイニングを不正に行う
15	CASB (Cloud Access Security Broker) の役割として正しいのはどれか？	クラウド利用におけるセキュリティポリシー適用や監視を行う仕組み	クラウド利用におけるセキュリティポリシー適用や監視を行う仕組み	クラウド利用におけるセキュリティポリシー適用や監視を行う仕組み
16	HTTP Strict Transport Security (HSTS) の目的はどれか？	サイトへのHTTPアクセスを強制的にHTTPSへリダイレクトする	サイトへのHTTPアクセスを強制的にHTTPSへリダイレクトする	サイトへのHTTPアクセスを強制的にHTTPSへリダイレクトする
17	SHA-512/256の説明として正しいのはどれか？	SHA-512を使い256ビットのハッシュ値を出力する方式	SHA-512を使い256ビットのハッシュ値を出力する方式	SHA-512を使い256ビットのハッシュ値を出力する方式
18	DRDoS攻撃の特徴はどれか？	第三者を踏み台にし、応答トラフィックを攻撃対象に送り付ける攻撃	第三者を踏み台にし、応答トラフィックを攻撃対象に送り付ける攻撃	第三者を踏み台にし、応答トラフィックを攻撃対象に送り付ける攻撃
19	IoT機器を狙った攻撃として代表的なものはどれか？	パスワードリスト攻撃による不正ログイン	電源遮断攻撃	パスワードリスト攻撃による不正ログイン
20	Dependency Confusion 攻撃の被害を低減するための有効な対策はどれか？	社内専用パッケージは公開リポジトリよりも優先して解決されるよう設定する	社内専用パッケージは公開リポジトリよりも優先して解決されるよう設定する	社内専用パッケージは公開リポジトリよりも優先して解決されるよう設定する