こんにちは。
掲題の問題について質問させて下さい。

本問の解答は9月25日14:10となっていますが、その理由がわかりません。

図10のログを確認すると、

9月25日14:10  マルウェアのダウンロード
9月25日14:11  C.C.C.C(C&Cサーバー)からconfig.binをダウンロード

となっています。
このログからだと14:11に、NさんのPCからC&CにGETリクエストを送り、盗聴命令を受けたように見えたため、Mさんのメールを盗聴し始めたのは、命令を受けた14:11からと捉えました。

なぜ14:10が解答となるか教えていただけますと幸いです。

(c)は、NさんのPCがマルウェアに感染した時刻になります。
マルウェアの挙動によりARPスプーフィングでNさんのPCを経由させるよう、同一セグメント上のPCやルータのARPテーブルを書き換えれば、盗聴することは可能です。中間者攻撃の一種です。

>Mさんのメールを盗聴し始めたのは、

盗聴したのは、LさんのPCの通信（メール受信）です。

hisashi様

コメントありがとうございます。

C&Cサーバーから、指令を受け盗聴を開始したと思いこんでいましたが、指令を受けずともマルウェア単独で動作していると理解しました。

>盗聴したのは、LさんのPCの通信（メール受信）です。
ご指摘ありがとうございます。勘違いしていました。

以上、ありがとうございました。