解答が「HTTPのアクセスをHTTPSに置き換えてアクセスする。その後、偽サイトからサーバ証明書を受け取る。」となっています。

この解答の後半で偽サイトが登場するのがよく分からないです。
ここで問うているのは、偽サイトではなく、正規のサイトに対して、偽AP経由でアクセスしている時のHSTSの有効性だと思いました。
アクセスしているのはBサービスなのに、何故偽サイトからサーバ証明書を受け取る話になるのでしょうか？

来客用無線LAN の AP と同じ設定の偽のAP(以下,偽AP という), 及び Bサ ービスと同じ URL の偽のサイト (以下、偽サイトという)を用意し, DNS の 設定を細工して、 a と b を盗む方法はどうでしょうか。
....
偽APに接続した状態で、従業員が Web ブラウザに BサービスのURLを入力する際に、

上記の文章からすると、偽APに接続した状態でのBサービスは偽サイトということかと思います。

私も以前同様の疑問がありましたが、
https://www.sc-siken.com/bbs/1393.html
のpixさんの解説で腑に落ちました。
参考までにご覧になってはいかがでしょうか。

ご回答ありがとうございます。
なるほど、読み違えていたことに気付きました。
並列で例を挙げるときはそれぞれ独立しているものとばかり認識していましたが、「偽サイト及び偽AP」であって「偽サイト又は偽AP」ではないですもんね…。
皆さんはそこに悩まれてないようで、お恥ずかしい限り。