🛡️ サイバー防災テスト(ノーJS版:36問・印刷対応)
はてな対応 攻撃手順は扱わず、目的は「見分け方・初動・予防」。
原則:海外発信番号は「取らない・登録しない・応対しない」。
※各問の正解は「解説」に明記。印刷時は全解説が自動展開されます。
初級(12問)
1. 銀行を名乗るメールでログインを促された。最初にすることは?
A. メールのリンクからログインする
B. 公式サイト/正規アプリで自分から確認
C. とりあえず削除だけする
正解:B — リンクは踏まない。自分発の正規導線で事実確認。
2. 配送SMS『再配達はこちら』。どうする?
A. リンクを開く
B. 公式アプリ/不在票/正規番号で自分から確認
C. 返信で確認
正解:B — 偽サイト誘導が多数。既知の公式導線のみ。
3. 見知らぬ国番号から着信。正しい対応は?
A. 折り返す
B. 留守電のみ確認→ブロック(必要時は通信会社へ報告)
C. SMSで問い詰める
正解:B — 海外発信番号は応対/登録しない。
4. パスワード管理の基本は?
A. 全部同じで覚えやすく
B. 長くてサービスごとに別+管理アプリ
C. メモ帳に保存
正解:B — 使い回しは一撃死。長くユニーク+管理アプリ。
5. MFA(二段階認証)の目的は?
A. 見た目を良くする
B. パス漏洩時の不正ログインを防ぐ
C. 端末を速くする
正解:B — 漏洩時の最後の砦。認証アプリ推奨。
6. 『ウイルス感染!この番号に電話』ポップアップ。どうする?
A. 表示番号に電話
B. ブラウザ再起動→公式手順で確認
C. 遠隔操作を許可
正解:B — 偽警告の典型。電話しない。
7. 街頭QR『支払いはこちら』の扱いは?
A. すぐ読み取る
B. 公式アプリ内導線以外は使わない/店に確認
C. 写真を撮って後で開く
正解:B — 上書きステッカー詐欺あり。公式導線限定。
8. どれが“本物らしい”ドメイン?
A. bank.example.co.jp
B. bank.example.co.jp.secure-login.com
C. secure-login.example.com.bank
正解:A — 本体は example.co.jp。右端が本体。
9. URL『https://login.example.co.jp.payments.com/account』の本体ドメインは?
A. example.co.jp
B. payments.com
C. login.example.co.jp
正解:B — 右端 'payments.com' が本体。
10. 『パスワード再設定の依頼』(心当たりなし)対応は?
A. リンクから即リセット
B. 無視し公式で最近の活動確認+MFA強化
C. 返信で発信者確認
正解:B — 不正試行の可能性。自分発で確認。
11. 短縮URLの扱いは?
A. すぐ開く
B. 展開して遷移先ドメイン確認 or 公式導線限定
C. 送り主に聞く
正解:B — 短縮はドメインが隠れる。展開確認。
12. 海外発信番号の取得を勧められた。個人の原則は?
A. とりあえず契約
B. 原則取得しない(必要時も最小化)
C. 安いなら複数契約
正解:B — 攻撃面が増える。不要契約は漏洩・課金の温床。
中級(12問)
13. 差出人名は『銀行』だが実アドレスは『notice@bank-secure.co』。見方は?
A. 表示名で判断
B. 実アドレスのドメインを確認し公式導線で再確認
C. 添付のWordを開く
正解:B — 表示名は偽装可。必ず公式導線へ。
14. フリーWi-Fiの方針で正しいのは?
A. なんでもOK
C. HTTPSなら100%安全
正解:B — 公共回線は基本避ける。
15. バックアップの基本は?
A. 端末1台で十分
C. 月1回メール送信でOK
正解:B — 別媒体/別場所の冗長が鍵。
16. アプリ権限・入手で正しいのは?
A. 権限は全部ON
B. 公式ストア以外も同じ
C. 不要権限は拒否・公式ストアのみ
正解:C — 最小権限+正規入手。
17. 振込先変更メール。確認手順は?
A. メール返信でOK
B. 既知の正規番号へ自分から電話し照合
C. すぐ振込
正解:B — チャネル切替の本人確認。
18. 宅配業者を名乗り『6桁コードを教えて』。対応?
A. 教える
B. 絶対に教えない
C. 代わりに氏名住所を教える
正解:B — 認証コード共有は乗っ取りの典型。
19. 短縮URLの扱いは?
A. すぐ開く
B. 展開して遷移先ドメイン確認/公式導線限定
C. 送り主に聞く
正解:B — ドメインが隠れる。展開確認。
20. 偽のブラウザ更新サイトが『インストーラDL』。対応?
A. DLする
B. 無視し公式サイト/ストアから更新
C. ポップアップの電話にかける
正解:B — 偽アップデート詐欺。公式のみ。
21. 『パスワード再設定の依頼』(心当たりなし)。対応?
A. 即リセット
B. 無視→公式で活動確認+MFA強化
C. 返信で確認
正解:B — 不正試行の可能性。
22. 見た目が似た文字(xn-- 等)で偽装する攻撃名は?
A. ホモグラフ攻撃
B. DDoS
C. DNSポイズニング
正解:A — 見た目に騙されない。
23. 公共PCの適切な対策は?
A. 重要ログインもOK
B. シークレット+終了時ログアウト、重要操作は避ける
C. USBで持ち込めば安全
正解:B — 痕跡/マルウェアリスク。
24. URL『https://update.example.co.jp.service-login.com/』の本体ドメインは?
A. example.co.jp
B. service-login.com
C. update.example.co.jp
正解:B — 右端が本体。
上級(12問)
25. SPF/DKIM/DMARCの理解は?
A. 本物保証
B. 有効だが万能ではない
C. 無関係
正解:B — 技術対策は有効だが内容/導線検証は別。
26. 鍵マーク(HTTPS)が示すのは?
A. サイトの正当性保証
B. 通信の暗号化のみ
C. ウイルス対策OK
正解:B — 暗号化≠正当性保証。
27. Office添付で『マクロ有効化』。適切なのは?
A. 有効化
B. 原則有効化しない(送信元を検証)
C. 先に対策ソフトOFF
正解:B — 高リスク。原則拒否。
28. SIMスワップ対策として適切?
A. 不要
B. キャリア暗証/本人確認強化+認証アプリへ
C. SNSで番号公開
正解:B — 回線移管悪用に備える。
29. ランサム被害疑いの初動は?
A. まず交渉
B. 切断→証拠保全→公的/専門家連絡
C. 再起動で様子見
正解:B — 拡大防止と証拠保全が最優先。
30. OAuth『◯◯でログイン』を未知サイトで要求。適切対応?
A. 許可
B. 権限内容を確認し未知サイトでは許可しない/最小権限
C. 全権限付与
正解:B — 過剰権限でデータ持出リスク。
31. クラウド共有リンクの安全な扱いは?
A. 『リンクを知っている全員可』でOK
B. 閲覧者限定・期限付き・機密は個別招待
C. 常時編集可
正解:B — 最小権限+期限。
32. QRフィッシング検知で有効なのは?
A. どれも同じ
B. 正規導線/レシート・店員確認/URL展開で本体ドメイン確認
C. カメラで即開く
正解:B — 展開確認+正規導線。
33. サプライチェーンを装う請求メール。最重要の確認は?
A. 記載の連絡先へ返信
B. 過去の正規連絡先へ自分から連絡し事実確認
C. 添付口座へ即振込
正解:B — 既知の正規ルートで再確認。
34. アカウント復旧の備えで適切?
A. 回復用連絡先は未設定でOK
B. バックアップコードをオフライン保管・疑わしい活動後はトークン再発行
C. SMSのみで十分
正解:B — 復旧チャネル整備+再発行。
35. ドメイン問題(応用):『https://login.example.co.jp.payments.com/account』の“右端”が本体である理由は?
A. 企業名が含まれるから
C. 文字数が多い方が本体だから
正解:B — 右端が登録ドメイン(例:example.co.jp なら “co.jp” の左が本体)。
36. 海外発信番号(上級)—正しい原則は?
A. 副業なら複数契約
B. 原則取得しない。必要時も最小化・監査
C. どのサイトにも登録
正解:B — 攻撃面が増える。取得は例外的に最小で。
