P22. 5/16にリリースされたPDF観覧ソフトの脆弱性プログラムが適応されていれば、マルウェアYをダウンロードしない。
とあるのに、なぜ、マルウェアYをダウンロードして感染したのでしょうか？

>P22. 5/16にリリースされたPDF観覧ソフトの脆弱性プログラムが適応されていれば、
>マルウェアYをダウンロードしない。
>とあるのに、なぜ、マルウェアYをダウンロードして感染したのでしょうか？
「適応されていれば」という仮定の話が書いてあります。
実際はPDF観覧ソフトには脆弱性プログラムが適応されていなかったと読み取れます。

図3(2)より、マルウェアXであるPDFファイルを最初に開いたのは5/21です。
この時点でPDF閲覧ソフトの脆弱性修正プログラムが適用されていれば、確かにマルウェアYはダウンロードされません。

ところが、〔A社の情報システム〕の最後の方に以下の一文があります。

>（DPC等の）導入後は，プロキシサーバ経由でA社標準ソフトの各ベンダのサイトに毎月末に自動で接続し，それぞれの脆弱性修正プログラムを適用している。

つまり、5/16にリリースされたPDF閲覧ソフトの脆弱性修正プログラムが適用されたのは5月末であったと考えられます。
このため、5/21時点では脆弱性修正プログラムが未適用であり、マルウェアXによりマルウェアYがダウンロードされたものと推測できます。

〔集中管理の仕組みの導入〕で｢脆弱性修正プログラムを配信し，配信状況を管理する機能｣をもつ集中管理サーバの導入案が出ているのは、上記の背景があるためと思われます。