「HSTSが設定されていれば初回のhttpアクセス時に中間者攻撃や盗聴を受けるリスクを排除することができる」
との記載があり、こちらについて質問させていただきます。

HSTSを設定した場合、通信が
①ブラウザがサーバへhttpで接続
②サーバから次回からhttpsでstrict-transport-securityとlocationが追加されたレスポンスが返る
③ブラウザはlocationに記載されたURLへ接続
④次回以降はキャッシュが残っている間ブラウザがhttpのアクセスをhttpsのアクセスへ置き換える
というような流れになると認識しています。

初回のhttpアクセス時は暗号化通信ができていないので中間者攻撃や盗聴を受けるリスクはhttpsリダイレクトと変わりなく、初回の通信からhttpsを利用するためにはHSTSプリロードリストへの登録が必要ではないかなと思いました。
HSTSさえ設定してしまえば、初回からhttps通信は可能なのでしょうか？

>HSTSさえ設定してしまえば、初回からhttps通信は可能なのでしょうか？
いえ。そんなことはありません。
この問には流れがあります。

「攻撃者が偽APを用意し、」とあります。
すなわち、
・まず本物のAPがあり
・M社の従業員は日々本物のAPに接続し
・日常的にBサービスを利用している
という前提を行間から読み取る必要があります。

いきなり
・初回の接続が偽AP
・Bサービスに初回接続
・その際にHTTPで接続
という初回づくめ＆HTTP接続するといった不自然な状況では
ないということです。

＞pixさん
すみません、こちらの問題の状況に対してのHSTSというより、HSTSの設定そのものとして初回からhttps通信が可能なのか？というのが聞きたいところでありました。
リンクを貼り忘れており申し訳ないのですが、こちらで掲載されている解説についての質問となります。
https://www.sc-siken.com/kakomon/05_aki/pm2.html
HSTSの動きとしてこういうものだよ、と書かれているような気がして違和感を覚えた次第です。

すみません、私も詳細な動作を完全に記憶していないです。
私の記憶がたしかならば、
HSTSはHTTPバーチャルホスト側には設定不可です。
HSTSはHTTPSバーチャルホスト側で設定されます。

そのため、初回HTTPでアクセスした場合のフローは以下です。
１．クライアントがHTTPバーチャルホストに接続する
２．HTTPバーチャルホストで常時リダイレクトでHTTP->HTTPSへの
    リダイレクトを行う
３．クライアントはリダイレクトでHTTPSバーチャルホストへ接続する
４．HTTPSバーチャルホストへ初回接続の場合、クライアントにHSTSが
    設定される
です。

以上のフローを成立させるために、HTTPバーチャルホスト側での
常時リダイレクトは必須になります。

＞pixさん
プリロードなしに初回からhttps通信は不可能ということになりますね。
この問題のケースにおいてはHSTSが設定されているから初回からhttps通信が可能である、と解釈することにしました。
質問文がおかしくてすみません…。ご回答いただきありがとうございました。