情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

こんにちは。
国語力に自信が無く、過去２回落ちており
過去の記述問題を見直しています。
表題の問題の模範回答なのですが、

(感染したが、C＆Cサーバと通信する前にネットワークから切り離された状態）

とありますが、この唯一の回答を読み取る根拠となる文章はどこでしょうか？
自分の回答は、

（マルウェアMが他のグローバルIPを利用して通信している状態）

としました。
回答とはかけ離れているように感じますが、間違っていないようにも思います。
何かヒントや考えなどいただけるとありがたいです。

よろしくお願いします。

マルウェアに感染していることを検知するには、マルウェアからC&CサーバへのパケットがFWを通過したかどうかの確認では不十分だということです。

FWのログに該当パケットがあれば、感染していると断定できますが、なければ、断定できません。

では、「FWのログに該当パケットがない」とはどういうことかと言うと、「C&Cサーバと通信することができない」ということです。したがって、解答例のようになります。

ヒントを探すと、最初のページに、
「マルウェアが、外部のC&Cサーバと通信を開始しようとする段階(中略)で検知し対処できれば、情報漏えいの被害を軽減できる」
とあり、図2に、
「Pサービスからの通知を基に(中略)LANから切り離す」
とあります。

なお、解答例の「感染したが、」は、感染していることが前提の設問ですから、省略してもいいと思います。

大変助かります。

感染が断定できない場合に、何を考慮すべきか？
ということなのですね。

自分の回答では文脈を考えず前提自体を否定しているようでした。

ありがとうございます。
参考にさせていただきます。

主旨がうまく伝わらなったようなので、追記します。

感染しても、FWにログが書かれることもあれば、書かれないこともあります。

前者は、C&Cサーバへの通信ができた場合であり、後者は、その通信が未然に防止された場合です。後者となるのは、PCまたはサーバがどういう状態かが問われています。

最近の時事に例えると、感染しても、その後の活動が防止されるのは、すばやく隔離された場合です。

レスポンス遅くて申し訳ありません。

また詳細いただきありがとうございます。
ポンコツですみません。

問題で問われている対象は何か？

というそもそもが意識できていなかったと思います。
ありがとうございます！